Le agenzie Usa non più indipendenti. Schrems all’UE: “Cancellare l’accordo sul Data Privacy Framework”

  ICT, Rassegna Stampa
image_pdfimage_print

Privacy, la sentenza della Corte Suprema Usa accresce il controllo del Presidente degli Stati Uniti sulle Agenzie federali

È un vero e proprio terremoto quello che sta facendo traballare sensibilmente il quadro regolatorio che definiva il trasferimento di dati tra Union europea (Ue) e Stati Uniti. La decisione della Corte Suprema degli Stati Uniti nel caso Trump v. Slaughter potrebbe aprire una nuova fase di forte tensione nei rapporti tra Washington e Bruxelles sul delicatissimo tema della circolazione dei dati personali. Con una pronuncia destinata ad avere effetti ben oltre il diritto amministrativo americano, i giudici hanno stabilito che “il Presidente degli Stati Uniti può rimuovere i componenti della Federal Trade Commission (FTC)”, superando un orientamento giurisprudenziale che per quasi novant’anni aveva garantito l’indipendenza dell’autorità federale.

La decisione rappresenta uno dei più significativi rafforzamenti del potere presidenziale nella storia recente degli Stati Uniti e si inserisce nell’affermazione della cosiddetta unitary executive theory, secondo la quale “tutte le autorità dell’esecutivo devono rispondere direttamente al Presidente”.

Negli USA molte funzioni cruciali sono affidate a enti come FTC, FCC e SEC, che tradizionalmente operano con una certa distanza dal potere presidenziale. La teoria unitary executive sostiene invece che questi organismi debbano rispondere più direttamente al presidente, quindi il tema torna centrale ogni volta che un’amministrazione prova a rafforzare il proprio controllo sull’apparato federale.

È venuto il momento di far saltare il Data Privacy Framework?

La pronuncia ha però immediatamente assunto una rilevanza internazionale. Secondo noyb – European Centre for Digital Rights, l’organizzazione fondata dall’attivista austriaco Max Schrems, vengono infatti meno alcuni dei presupposti giuridici sui quali la Commissione europea ha costruito il Data Privacy Framework, il regime che dal 2023 consente il trasferimento dei dati personali dall’Unione europea agli Stati Uniti.

Per comprendere la portata della questione bisogna tornare indietro di oltre venticinque anni. Dal 1995 il diritto europeo limita il trasferimento dei dati personali verso Paesi terzi che non garantiscono un livello di tutela sostanzialmente equivalente a quello assicurato dall’Unione. Nel corso degli anni Bruxelles ha cercato più volte di costruire un meccanismo stabile con Washington per consentire alle imprese europee di utilizzare servizi cloud e piattaforme statunitensi senza violare il Regolamento generale sulla protezione dei dati (GDPR).

I primi due tentativi, Safe Harbor e successivamente Privacy Shield, sono stati però annullati dalla Corte di giustizia dell’Unione europea nelle celebri sentenze Schrems I e Schrems II, proprio in seguito ai ricorsi promossi da Max Schrems. Secondo i giudici europei, il sistema statunitense non offriva garanzie sufficienti contro la sorveglianza governativa né strumenti di ricorso effettivi per i cittadini europei.

Nel 2023 la Commissione europea ha quindi approvato un terzo accordo, il Data Privacy Framework, ritenendo che le modifiche introdotte dall’amministrazione Biden fossero sufficienti a garantire un livello di protezione adeguato. È proprio questo impianto che oggi viene contestato da noyb.

Serve un’autorità per la protezione dei dati personali “veramente indipendente

Secondo l’organizzazione, il diritto primario dell’Unione europea impone che la vigilanza sulla protezione dei dati personali sia affidata a un’autorità realmente indipendente. Il riferimento è all’articolo 16, paragrafo 2, del Trattato sul funzionamento dell’Unione europea e all’articolo 8, paragrafo 3, della Carta dei diritti fondamentali dell’Unione europea. Per questo motivo, sostiene noyb, la Commissione europea ha individuato nella Federal Trade Commission il soggetto incaricato di garantire il rispetto degli impegni assunti dagli Stati Uniti, richiamandone l’indipendenza ben 259 volte nella decisione di adeguatezza che disciplina il Data Privacy Framework.

La sentenza della Corte Suprema, tuttavia, cambia radicalmente questo presupposto. Se la FTC non può più essere considerata indipendente dal potere esecutivo, viene meno, secondo l’interpretazione di noyb, uno dei pilastri giuridici sui quali Bruxelles ha fondato la propria valutazione.

Max Schrems afferma: “L’elemento fondamentale è che l’assetto costituzionale dell’Unione europea richiede che la vigilanza sia affidata a un’autorità indipendente. L’unico modo per modificare questo principio sarebbe un voto unanime di tutti gli Stati membri dell’Unione europea per cambiare i Trattati dell’UE”.

Dal momento che negli Stati Uniti non esistono più autorità indipendenti, chiediamo alla Commissione europea di ritirare in modo ordinato la decisione di adeguatezza relativa agli Stati Uniti”, ha sottolineato l’esperto austriaco.

Nella ricostruzione di noyb, non sarebbe compromesso soltanto il ruolo della Federal Trade Commission. Anche il cosiddetto Data Protection Review Court, l’organismo creato dall’amministrazione Biden per offrire ai cittadini europei un rimedio contro eventuali attività di sorveglianza da parte delle autorità statunitensi, viene considerato giuridicamente fragile. Pur chiamandosi “Court”, ricorda l’organizzazione, si tratta infatti di un organismo interno al Department of Justice la cui indipendenza deriva esclusivamente da un ordine esecutivo emanato dall’ex Presidente Joe Biden, modificabile in qualsiasi momento dal Presidente Donald Trump.

Schrems (noyb): “Chiediamo una progressiva uscita dalla condizione di dipendenza dai servizi cloud americani

Le conseguenze prospettate da noyb sarebbero molto ampie. Secondo l’organizzazione, la Commissione europea dovrebbe avviare un ritiro ordinato della decisione di adeguatezza e preparare una progressiva uscita dalla dipendenza dai servizi cloud statunitensi.

Anche seguendo la logica della stessa Commissione europea, il fondamento di qualsiasi accordo tra Unione europea e Stati Uniti per il trasferimento dei dati è ormai venuto meno”, ha precisato Schrems, che aggiunge: “Chiediamo alla Commissione di avviare un’uscita ordinata dal cloud statunitense: non sarà semplice, ma purtroppo è inevitabile. La Commissione ha costruito un castello di carte giuridico sotto la pressione dell’industria. Ora che quel castello sta chiaramente crollando, deve assumersi le proprie responsabilità”.

Sul piano strettamente giuridico, però, gli effetti non sono immediati. La stessa noyb riconosce che il Data Privacy Framework rimane formalmente in vigore finché la Commissione europea non deciderà di revocare la propria decisione oppure finché questa non verrà eventualmente annullata dalla Corte di giustizia dell’Unione europea. Nel frattempo continueranno a essere possibili i trasferimenti di dati fondati sulla decisione di adeguatezza attualmente vigente.

Diversa, invece, potrebbe essere la situazione per le imprese che trasferiscono dati utilizzando altri strumenti previsti dal GDPR, come le Standard Contractual Clauses (SCCs) o le Binding Corporate Rules (BCRs). Secondo noyb, queste organizzazioni dovranno aggiornare le proprie valutazioni d’impatto alla luce del nuovo quadro giuridico statunitense e potrebbero trovarsi nella condizione di dover riconsiderare la liceità dei trasferimenti.

L’organizzazione ha già inviato una lettera formale alla Commissione europea chiedendo l’avvio della procedura di revoca del Data Privacy Framework e ha annunciato che nelle prossime settimane promuoverà una nuova azione giudiziaria con l’obiettivo di ottenere dalla Corte di giustizia dell’Unione europea l’annullamento dell’accordo, un procedimento che potrebbe richiedere due o tre anni.

Novità su Google, per aggiungere Key4Biz tra le tue fonti preferite, clicca qui

Aggiungi Key4Biz tra le tue fonti preferite

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/trasferimento-dati-la-corte-suprema-usa-silura-il-trattato-con-lue-non-piu-rimandabile-lindipendenza-digitale/578128/