Biden ha firmato l'Ordine esecutivo per il Privacy Shield 2.0. Ecco le novità per aziende ed e-commerce
In data 7 ottobre 2022 il Presidente Biden ha firmato un Ordine esecutivo (
Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities) che definisce le misure che gli Stati Uniti adotteranno per attuare gli impegni assunti nell'ambito dell'
Europen Union-U.S. Data Privacy Framework annunciato dal Presidente Biden e dalla Presidente della Commissione Europea von der Leyen nel marzo 2022.
L'Ordine esecutivo
rafforza una serie di obblighi già previsti in capo alle attività di intelligence degli Stati Uniti in tema privacy.
Il documento inoltre crea un
meccanismo indipendente e vincolante che consente di chiedere un risarcimento se si ritiene che i dati personali siano stati raccolti da agenzie governative degli Stati Uniti in un modo che viola la legge statunitense.
L'Ordine esecutivo rappresenta il culmine di uno sforzo congiunto degli Stati Uniti e della Commissione europea per ripristinare la fiducia e la stabilità dei flussi di dati transatlantici.
In questo articolo indichiamo i punti principali dell'Ordine esecutivo e cosa devono aspettarsi a breve gli e-commerce in tema privacy.
SOMMARIO
Premessa
Cosa prevede l'Ordine esecutivo
Il sistema multi-livello di protezione
Gli USA puntano molto sull'Ordine esecutivo
Il punto di vista della Commissione europea
Cosa ne pensa Max Schrems
Cosa farà Max Schrems in questi giorni
Cosa devono fare gli e-commerce
Il 25 marzo 2022, la Presidente von der Leyen e il Presidente Biden hanno annunciato di aver raggiunto un
accordo di principio su un nuovo quadro per la gestione della privacy dei dati UE-USA (il c.d.
EU-U.S. Data Privacy Framework).
L'accordo ha avuto come scopo di favorire i flussi di dati personali transatlantici e ha affrontato le preoccupazioni sollevate dalla Corte di giustizia dell'Unione europea
a seguito dell'annullamento nel luglio 2020 del c.d. Privacy Shield (l'accordo USA-EU che permetteva il trasferimento dei dati personali negli USA).
Successivamente, Team privacy della UE e degli USA hanno lavorato per molti mesi per finalizzare i dettagli di questo accordo e tradurlo in un quadro giuridico.
L'importanza dell'Ordine esecutivo firmato da Biden si colloca ovviamente nel contesto sollevato dalla decisione del
Garante Privacy di ordinare a un sito internet l'interruzione di Universal Analytics.
L'Ordine firmato da Biden ha infatti lo scopo di adeguare la normativa USA a quella prevista dal
GDPR. In questo modo si auspica che la Commissione europea possa emanare una decisione di adeguatezza in grado di rimanere nel tempo e di "coprire" il trasferimento di dati personali dall'Unione europea agli USA.
Di seguito vediamo nel dettaglio i punti principali.
L'Ordine esecutivo:
- aggiunge ulteriori obblighi in capo alle agenzie di intelligence degli Stati Uniti, richiedendo tra l'altro che tali attività (i) siano condotte solo nel perseguimento di obiettivi definiti di sicurezza nazionale; (ii) tengano conto della privacy e delle libertà civili di tutte le persone, a prescindere dalla nazionalità o dal Paese di residenza; (iii) siano condotte solo quando necessario per portare avanti una accertata priorità di intelligence e solo nella misura e con modalità proporzionate a tale priorità;
- impone requisiti di trattamento per le informazioni e per i dati personali trattati attraverso le attività di intelligence ed estende le responsabilità legali e di controllo sui funzionari per garantire che vengano intraprese azioni appropriate per rimediare agli episodi di non conformità alla normativa di protezione dei dati personali;
- richiede alle agenzie di intelligence degli Stati Uniti di aggiornare le loro politiche e procedure per riflettere le nuove tutele sulla privacy e sulle libertà civili contenute nell'Ordine esecutivo;
- crea un meccanismo a più livelli che consente ai cittadini degli Stati di ottenere un controllo in merito al trattamento dei dati personali effettuato e un risarcimento qualora il trattamento effettuato dalle agenzie di intelligence siano stati raccolti in violazione della normativa privacy applicabile, compreso l'Ordine esecutivo firmato da Biden.
Un elemento significativo dell'Ordine esecutivo è la presenza di un sistema particolarmente stringente di controllo e di verifica sul trattamento dei dati personali posto in essere dalle agenzie di intelligence governative statunitensi.
Questo sistema si caratterizza per due livelli di protezione: una sorta di ricorso amministrativo e uno giudiziale (o almeno così dovrebbe essere, v. le prime considerazioni sul punto pubblicate da
Max Schrems).
Primo livello di protezione
Nel primo livello, il
funzionario per la protezione delle libertà civili presso l'Ufficio del direttore dell'intelligence nazionale (CLPO) condurrà un'indagine iniziale sui reclami ricevuti per verificare la violazione o meno della normatica privacy statunitense e per determinare il rimedio appropriato.
L'Ordine esecutivo rafforza le funzioni del CLPO già esistenti per legge, stabilendo che
la decisione del CLPO sarà vincolante per le agenzie di intelligence governative.
L'Ordine esecutivo inoltre fornisce protezioni per garantire
l'indipendenza delle indagini e delle decisioni del CLPO.
Secondo livello di protezione
Come secondo livello di revisione, vi sarà un
Tribunale di revisione sulla gestione dei dati personali (DPRC).
Il Tribunale avrà lo scopo di fornire una
analisi indipendente e vincolante delle decisioni del CLPO, su richiesta della persona fisica coinvolta o della agenzia di intelligence governativa.
I giudici di questo particolare Tribinale
saranno nominati al di fuori del governo degli Stati Uniti, avranno un'esperienza rilevante nel campo della privacy e della sicurezza nazionale, esamineranno i casi in modo indipendente e
godranno di una protezione contro la loro rimozione.
Le decisioni di questo Tribunale saranno ovviamente
vincolanti.
Per tutelare al meglio i diritti del cittadino è anche previsto che il Tribunale selezioni un avvocato esperto in privacy che difenderà l'interesse del denunciante in giudizio.
Da quanto si legge sul sito della Casa Bianca è evidente che
gli USA si aspettano molto da questo accordo.
Infatti si legge che secondo gli USA queste misure forniranno alla Commissione europea una base per adottare un nuovo giudizio di adeguatezza, che ripristinerà un meccanismo di trasferimento dei dati personali in conformità a quanto previsto dal
GDPR.
Inoltre, fornirà una maggiore certezza giuridica alle aziende che utilizzano le clausole contrattuali standard e le norme vincolanti d'impresa per trasferire i dati personali dell'UE negli Stati Uniti.
Sul proprio sito istituzionale, la Commissione europea ha pubblicato delle
FAQ dove espone già alcune considerazioni sull'Ordine esecutivo firmato da Biden.
Vediamo le principali svolte dalla Commissione europea.
Le fasi per la pubblicazione della decisione di adeguatezza
Con l'adozione del decreto esecutivo e dei relativi regolamenti, la Commissione può ora passare alle fasi successive, che comprendono la proposta di un progetto di decisione di adeguatezza e l'avvio della procedura di adozione.
La
procedura di adozione di una decisione di adeguatezza prevede diverse fasi:
- l'ottenimento di un parere da parte del Comitato europeo per la protezione dei dati (EDPB);
- il via libera da parte di un comitato composto da rappresentanti degli Stati membri dell'UE;
- inoltre, il Parlamento europeo ha il diritto di controllo sulle decisioni di adeguatezza.
Solo successivamente la Commissione europea potrà adottare la decisione finale di adeguatezza nei confronti degli Stati Uniti.
Da quel momento in poi, i dati potranno circolare liberamente e in modo sicuro tra l'UE e le aziende statunitensi certificate dal Dipartimento del Commercio in base al nuovo quadro normativo.
Le aziende statunitensi potranno aderire al quadro impegnandosi a rispettare una serie dettagliata di obblighi in materia di privacy.
Le differenze rispetto al Privacy Shield
La Commissione europea rileva che la principale differenza rispetto al quadro normativo del Privacy Shield è rappresentato proprio dal sistema
multi-livello di protezione sopra descritto.
La Commissione europa ritiene che la Corte di giustizia non annullerà nuovamente l'accordo
L'obiettivo della Commissione è stato quello di rispondere alle preoccupazioni sollevate dalla Corte di giustizia dell'UE nella sentenza Schrems II e di fornire una base giuridica durevole e affidabile per i flussi di dati transatlantici.
Ciò si riflette nelle garanzie incluse nell'Ordine esecutivo, sia per quanto riguarda la limitazione sostanziale dell'accesso ai dati personali da parte delle autorità di sicurezza nazionali statunitensi (necessità e proporzionalità), sia per quanto riguarda l'istituzione del nuovo meccanismo di ricorso, di cui al sistema
multi-livello di protezione.
La Commissione europea ricorda l'importanza delle Clausole Contrattuali Standard
In astratto, la decisione di adeguatezza non è l'unico strumento per i trasferimenti internazionali.
Le
clausole tipo, che le aziende possono introdurre nei loro contratti commerciali, sono il meccanismo più utilizzato per trasferire dati dall'UE.
In questo contesto, nel 2021 la Commissione ha adottato delle "
clausole contrattuali standard" aggiornate per facilitarne l'uso, anche alla luce dei requisiti stabiliti dalla Corte di giustizia nella sentenza Schrems II.
Sono disponibili anche indicazioni pratiche per le aziende che si affidano alle clausole contrattuali standard per il trasferimento dei dati.
Tutte le garanzie che la Commissione ha concordato con il governo statunitense in materia di sicurezza nazionale (compreso il meccanismo di ricorso) saranno disponibili per tutti i trasferimenti verso gli Stati Uniti ai sensi del
GDPR, indipendentemente dallo strumento di trasferimento utilizzato.
In questo contesto, ovviamente si deve tenere conto delle
prime considerazioni pubblicate a caldo dall'avvocato Max Schrems, l' "arteficie" dell'annullamento del Privacy Shield.
Infatti, sapere cosa pensano i legali del suo studio in merito al contenuto dell'Ordine esecutivo potrà farci intuire quante probabilità vi sono che la prossima decisione di adeguatezza non venga annullata dalla Corte di giustizia.
Vediamo le principali considerazioni svolte dallo studio legale di Schrems.
Continua la "sorveglianza di massa"
Secondo Schrems la sorveglianza di massa continua attraverso due tipi diverse concezioni del concetto di "proporzionalità".
Gli Stati Uniti sottolineano che il nuovo Ordine esecutivo utilizza, con riferimento alla modalità di trattamento dei dati personali, la formulazione del diritto dell'UE ("
necessario" e "
proporzionato").
Questo potrebbe risolvere il problema se gli Stati Uniti seguissero la stessa interpretazione di questi termini e applicassero i criteri di valutazioni di impatto noti in ambito europeo.
La
cosiddetta "sorveglianza di massa" continuerà con il nuovo Ordine esecutivo, posto che secondo Schrems tutti i dati inviati ai provider statunitensi continueranno a finire in programmi come
PRISM o Upstream, nonostante la CGUE abbia dichiarato per due volte le leggi e le pratiche di sorveglianza statunitensi non "proporzionate" (secondo l'interpretazione europea del termine).
Questo sembra che sia stato possibile perhè l'UE e gli USA abbiano concordato di copiare le parole "necessario" e "proporzionato" nell'Ordine esecutivo,
ma non si siano accordate sul loro significato.
Se questi termini avessero avuto lo stesso significato legale gli Stati Uniti dovrebbero limitare radicalmente i loro sistemi di sorveglianza di massa per conformarsi alla concezione di sorveglianza "proporzionata" dell'UE.
In questo contesto, così si è espresso Max Schrems:
"L'UE e gli Stati Uniti sono ora d'accordo sull'uso del termine "proporzionato", ma sembrano in disaccordo sul suo significato. Alla fine prevarrà la definizione della CGUE, che probabilmente annullerà di nuovo qualsiasi decisione dell'UE. La Commissione europea sta ancora una volta chiudendo un occhio sulla legge statunitense, per permettere di continuare a spiare gli europei".
Il giudizio sul sistema multi-livello di protezione
Sempre secondo Schrems il Tribunale che si verrebbe a creare con l'Ordine esecutivo firmato da Biden non sarebbe veramente un "Tribunale".
Questa istituzione però altro non sarebbe che un
organo del ramo esecutivo del governo statunitense.
Il nuovo sistema è una versione aggiornata del precedente sistema "Ombudsperson", già respinto dalla Corte di giustizia.
Pertanto, se il Tribunale previsto dall'Ordine esecutivo di Biden non equivale a un vero e proprio Tribunale, non si può nemmeno parlare di "ricorso giudiziario", come richiesto dalla Carta dell'UE.
Sotto il profilo della tutela dei diritti privacy, Max Schrems, presidente di
noyb.eu: ha dichiarato:
"Dobbiamo studiare la proposta in dettaglio, ma a prima vista è chiaro che questo 'tribunale' semplicemente non è un tribunale. La Carta dei diritti fondamenti dell'Unione europea prevede un chiaro requisito di "ricorso giudiziario": il solo fatto di rinominare un organo di reclamo come "tribunale" non lo rende un vero e proprio tribunale. Anche i dettagli della procedura saranno importanti per capire se questa può soddisfare il diritto dell'UE".
Ulteriori ricerche ed eventuale ricorso.
Schrems e i suoi partner analizzeranno l'Ordine esecutivo di Biden in modo più approfondito nei prossimi giorni e
pubblicheranno un'analisi legale dettagliata nei prossimi giorni e settimane.
Se la decisione di adeguatezza della Commissione non sarà in linea con il diritto dell'UE e con le sentenze della CGUE in materia, lo studio legale di Schrems
probabilmente presenterà un altro ricorso alla CGUE.
Nel frattempo, il Congresso degli Stati Uniti dovrà ri-autorizzare il
FISA 702, consentendo potenzialmente al legislatore statunitense di implementare limitazioni significative che rispettino i diritti alla privacy delle persone non statunitensi.
Max Schrems:
"Analizzeremo questo pacchetto in dettaglio, il che richiederà un paio di giorni. A prima vista sembra che le questioni fondamentali non siano state risolte e prima o poi si tornerà alla CGUE".
Per gli USA gli stranieri non hanno diritto alla privacy.
Il Quarto Emendamento della Costituzione statunitense sancisce il diritto alla privacy e richiede l'esistenza di un valido motivo e l'approvazione giudiziaria per qualsiasi intercettazione.
Allo stesso modo, la Corte di giustizia dell'Unione europea richiede che la sorveglianza sia mirata e che vi sia un'approvazione o un riesame giudiziario ai sensi della Carta dei diritti fondamentali dell'UE.
L'unica differenza sembra essere che mentre l'UE considera la privacy come un diritto umano che si applica a qualsiasi persona, il Quarto Emendamento si applica solo ai cittadini statunitensi o ai residenti permanenti.
Secondo gli Stati Uniti,
gli europei non hanno alcun diritto alla privacy.
Il FISA 702 (la legge che permette alle agenzie di intelligence di accedere ai dati personali) sfrutta questa differenza nella legge statunitense e
consente una sorveglianza che è illegale ai sensi del Quarto Emendamento, a patto che non siano presi di mira gli americani.
Max Schrems:
"È sorprendente che l'UE e gli Stati Uniti concordino sul fatto che le intercettazioni necessitino di una causa probabile e di un'approvazione giudiziaria. Tuttavia, gli Stati Uniti ritengono che gli stranieri non abbiano diritto alla privacy. Dubito che gli Stati Uniti abbiano un futuro come cloud provider del mondo, se le persone non statunitensi non hanno diritti in base alle loro leggi. Mi sembra contraddittorio che la Commissione europea stia lavorando a un accordo che accetta che gli europei siano cittadini di 'seconda classe' e non meritino gli stessi diritti di privacy dei cittadini statunitensi".
Le aziende statunitensi non sono tenute a conformarsi al GDPR.
Ciò che colpisce Schrems è che la Commissione europea non ha richiesto l'allineamento ai principi privacy fondanti il GDPR.
Questo implica che le aziende statunitensi possono continuare a trattare i dati europei senza rispettare il GDPR.
Ad esempio, le aziende non avranno nemmeno bisogno di una base giuridica per il trattamento, come il consenso per esempio.
Tutto ciò nonostante la Corte di giustizia europea abbia sottolineato che negli Stati Uniti devono esistere protezioni "sostanzialmente equivalenti".
La situazione attuale è una sorta di "limbo", posto che si vive in attesa del (probabile) giudizio di adeguatezza emesso dalla Commissione europea.
La decisione di adeguatezza è attesa per fine anno - primi mesi del 2023.
Come devono comportarsi quindi gli e-commerce che trasferiscono dati personali in USA?
Al momento è ovviamente molto difficile fornire una risposta. Sopratutto una risposta che prescinda dal caso concreto.
Sul punto, segnaliamo una intervista online a Guido Scorza (componente del Garante Privacy), pubblicata online da Matteo Flora, nella quale sostanzialmente Guido Scorza invita le aziende ad applicare, innanzitutto, il buon senso, oltre alle indicazioni già offerte dal Garante Privacy nelle settimane successive al provvedimento che ha imposto lo stop all'uso di Universal Analytics.
Il buon senso quindi impone, anche in questa fase di attesa del giudizio di adeguatezza, di applicare una o più delle sequenti accortezze, qualora siano coinvolti trasferimenti di dati in USA o in Paesi privi del giudizio di adeguatezza:
- utilizzare solo se indispensabile tool che implicano il trasferimento di dati in USA, o in Paesi privi del giudizio di adeguatezza
- evitare di trattare dai particolari (come dati sulla salute) se non strettamente necessario
- interrompere l'uso di Universal Analytics
- sostituire Universal Analytics con GA4 o con tool che ne rappresentino una alternativa
- qualora si utilizzi GA4, applicare tutte le opzioni di anonimizzazioni offerti da questo tool.
Team LegalBlink