La questione del trasferimento dei dati europei verso gli Stati Uniti è diventata particolarmente calda a giugno 2022 quando il Garante Privacy ha definito illegittimo l’utilizzo di Google Analytics da parte dei siti web italiani, perché implica un trattamento dei dati europei da parte di un paese “non adeguato” alla normativa privacy (gli USA).
Tuttavia, la legittimità del trasferimento dei dati degli europei verso gli USA rappresenta, per molte piccole, medie e grandi aziende, la concreta possibilità di partecipare all’economia digitale ed espandere le opportunità economiche, visto che la maggior parte delle piattaforme online più utilizzate per raggiungere i clienti online proviene proprio dagli Stati Uniti (basti pensare a facebook, instagram, google ecc).
Quindi, la forte relazione economica tra UE e USA, stimata nell’ordine di 7,1 trilioni di dollari, rende doveroso e urgente intervenire sui flussi transatlantici di dati personali, per eliminare gli ostacoli e validare un meccanismo sicuro ed efficiente per tutte le parti coinvolte.
Già a marzo 2022, Stati Uniti e Unione Europea avevano annunciato di aver avviato il percorso verso un nuovo accordo che rendesse sicuro il trasferimento di dati personali verso gli USA e che permettesse di superare quelle criticità sulla tutela della privacy degli europei che hanno condotto la Corte di Giustizia Europea nel 2020 a considerare gli Stati Uniti un paese “non adeguato”.
Così il 7 ottobre 2022, dando seguito a questo impegno, il Presidente degli USA, Joe Biden, ha firmato un Executive Order (ordine esecutivo) per “Migliorare la salvaguardia dalle attività di Intelligence degli Stati Uniti”, considerato che la partita si gioca proprio su questo punto.
Ma perché si è arrivati a questo ordine esecutivo e cosa contiene? Cambia concretamente qualcosa al momento? Ecco una prima analisi.
| Trasferimento Dati Personali verso gli USA: la situazione attuale
Secondo il GDPR, il trasferimento di dati personali dei cittadini dell’UE verso Stati terzi è legittimo solo se ricorrono alcune condizioni, tra cui quella che il Paese destinatario abbia ottenuto la “decisione di adeguatezza” (art. 45 del Regolamento UE 2016/679) rilasciata dalla Commissione europea.
Questa valutazione a cadenza periodica, almeno ogni quattro anni, (che può riguardare anche un territorio o un settore specifico al suo interno), parte dal parere del Comitato Europeo per la Protezione dei Dati e prende in esame il livello di protezione garantito dalle norme sulla privacy di quel determinato territorio, messe in relazione anche con la normativa europea.
Da qui sorgono gli ostacoli nel rapporto tra UE e USA sul tema.
Nel 2020, infatti, con la “pronuncia Shrems II” della Corte Europea, sentenza che prende il nome dal cittadino austriaco Maximillian Schrems che ha presentato una denuncia contro il trasferimento di dati da Facebook Ireland verso Facebook Inc. (con sede negli Stati Uniti), gli USA sono nella lista dei Paesi “non adeguati” al trasferimento.
Il nodo della questione è che le norme federali permettono all’Intelligence americana di utilizzare i dati personali degli utenti per programmi di sorveglianza e questioni di sicurezza nazionale, in deroga al diritto alla riservatezza e in particolare al principio di proporzionalità su cui si fonda il GDPR.
Questa sentenza ha di fatto invalidato il Privacy Shield, l’accordo transatlantico che aveva regolato (e consentito) i flussi di dati fino a quel momento, constatando un disallineamento importante tra le leggi americane sulla privacy e quella europea.
Resiste, in realtà, la possibilità di trasferire legittimamente dati verso gli USA in presenza di garanzie adeguate o clausole contrattuali standard, ho affrontato la questione trattando il caso specifico dell’utilizzo di Google Analytics da parte dei titolari dei siti web e degli e-commerce con sede nell’UE.
| L’Ordine Esecutivo di Biden cambia qualcosa?
Questo è dunque il percorso che ha portato alla firma di questo ordine esecutivo da parte del Presidente Biden, un gesto che rappresenta la “buona volontà” del governo federale di Washington a fare passi in avanti verso un nuovo accordo proficuo con l’Europa.
Per chi attende una rapida soluzione della questione, la speranza è che si tratti davvero di un passo importante e che porti una base giuridica affidabile e duratura.
Ma, in sostanza, di cosa si tratta?
| Cosa è un Executive Order?
L’Executive Order è un provvedimento che può essere promulgato dal Presidente degli USA con l’obiettivo di indirizzare le politiche esecutive delle agenzie del Governo federale.
Quindi in concreto si tratta di un atto di indirizzo della Casa Bianca e non di una legge e, seppur molto significativo e di peso, resta un intervento regolamentare semplificato e rapido.
Questa prima azione, quindi, ha lasciato diverse perplessità, sia negli USA (vedasi ad esempio l’intervento della American Civil Liberties Union, sia in Europa, con la convinzione diffusa che sia necessaria una riforma decisamente più strutturata per aumentare i livelli di tutela della privacy delle persone “worldwide” che vedono trasferiti i propri dati nel Paese nord-americano.
| Cosa contiene l’Executive Order di Biden del 7 ottobre 2022?
Ma a prescindere dalla forma, è interessante analizzare quali novità contiene l’Executive Order di Biden.
L’intervento tocca due punti centrali della questione:
- l’accesso ai dati da parte dell’Intelligence statunitense;
- la possibilità di fare ricorso anche da parte di cittadini non statunitensi.
In merito all’accesso, l’Executive Order introduce dei limiti alle autorità di Intelligence, imponendo che sia autorizzato dalla legge ed effettuato rispettando i principi della proporzionalità e della ragionevolezza e comunque offrendo garanzie adeguate ai cittadini stranieri.
Sono individuati, altresì, obiettivi specifici dell’accesso ai dati personali, come ad esempio:
- monitorare le intenzioni o le attività avverse di un governo o un esercito straniero;
- garantire protezione contro attività militari straniere o contro il terrorismo;
- rilevare minacce per la sicurezza informatica.
Resta il fatto che la valutazione circa la proporzionalità o la necessità delle attività di Intelligence saranno effettuate secondo il diritto statunitense.
L’altra novità è l’introduzione di un meccanismo di ricorso indipendente su due livelli.
Nel primo livello i cittadini dell’Unione Europea possono presentare reclamo al Civil Liberties Protection Officer (CLPO), ossia la figura deputata a vigilare sul rispetto della privacy da parte dell’Intelligence, che avrà il compito di esaminare e indagare sui fatti contestati e, laddove necessario, ordinare un rimedio.
Nel secondo livello, gli interessati potranno fare ricorso alla decisione del CLPO appellandosi alla neonata Data Protection Review Court (DPRC), una Corte istituita appositamente con questo Executive Order composta da membri indipendenti (senza interferenze del governo USA), che avrà il compito di revisionare ed esprimere una decisione vincolante.
| La reazione dell’Unione Europea
Quali sono state le reazioni all’Executive Order dal vecchio continente?
Innanzitutto la Commissione Europea ha immediatamente aggiornato le FAQ pubblicate sul tema trasferimento dati UE-USA dimostrando di aver recepito subito le novità introdotte, ma, ancora più importante, è che si è impegnata ad avviare un nuovo processo di adozione della “decisione di adeguatezza”.
Per la verità questo processo è molto lungo, passa attraverso il parere (non vincolante) dell’EDPB e dall’approvazione da parte di un comitato composto da rappresentanti degli Stati Membri, poi ci dev’essere l’approvazione da parte dei membri del Parlamento europeo, che a quanto pare, non sembra così scontata.
Noyb, l’associazione di cui Max Schrems è il Presidente Onorario e da cui fondamentalmente tutto è partito, ha espresso chiaro scetticismo sul provvedimento di Biden, ritenendo che il percorso intrapreso dagli USA sia più di facciata che sostanziale e che resterà invariata la sorveglianza di massa tramite i dati inviati ai provider americani.
| Conclusioni e consigli dell’Avvocato dell’E-commerce
La questione è molto delicata e l’Executive Order non la esaurisce affatto.
Quello che interessa alle aziende italiane ed europee e non incorrere in sanzioni pesanti per il mancato rispetto della compliance in un quadro che al momento appare ancora fumoso.
Leggi anche quali sono i rischi sanzione per il mancato rispetto del GDPR di siti e e-commerce.
Per questo, soprattutto nel caso dei siti web e degli e-commerce, è necessario innanzitutto fare molta attenzione ai fornitori che si scelgono, specialmente se hanno sede al di fuori dello Spazio Economico Europeo e in generale affidarsi al supporto di un legale specializzato in materia che indichi la strada corretta da seguire per rispettare tutti gli adempimenti (in continua evoluzione) imposti dal GDPR.
Se hai bisogno, parliamone.
Floriana Capone
L’Avvocato dell’Ecommerce
