Trans-Atlantic Data Privacy Framework: elementi chiave
Autori: Gabriele Ientile, Teresa Rizzi
La decisione di adeguatezza della Commissione Europea sul Trans-Atlantic Data Privacy Framework ha scatenato un terremoto nel mondo della protezione dei dati.
Il tema del trasferimento dei dati negli USA è stato, continua ad essere e con ogni probabilità sarà, l’elefante nella stanza presente in ogni conversazione che ha a che fare con la conformità dei sistemi informativi delle aziende.
Ma la domanda che occorre davvero porsi è se questo nuovo framework possa dirsi effettivamente risolutivo e cosa significhi sul piano politico per l’Unione Europea.
Cosa prevede il Framework transatlantico
In questo draft la Commissione ha ritenuto che, nonostante gli Stati Uniti non forniscano delle garanzie identiche a quelle previste dal GDPR, quelle immaginate dal nuovo framework possano essere ritenute comparabili al livello garantito dall’Unione Europea in quanto assicurano un adeguato livello di protezione ai dati per i trasferimenti transatlantici attraverso l’implementazione di meccanismi di monitoraggio e revisione.
I punti chiave introdotti dall’ordine esecutivo statunitense tentano di risolvere le criticità sollevate dalla Corte di giustizia dell’UE nella sentenza Schrems II, con particolare riguardo all’accesso ai dati da parte delle autorità pubbliche statunitensi. Infatti, il nuovo quadro giuridico prevede una serie di limitazioni e salvaguardie che mancavano in precedenza, specie con riferimento all’ambito di applicazione della legge penale e della sicurezza nazionale. Difatti, l’accesso ai dati europei da parte delle agenzie di intelligence statunitensi sarà limitato a quanto “necessario e proporzionato” per proteggere la sicurezza nazionale e gli individui dell’Unione Europea avranno diritto di accedere ad nuovo sistema di ricorso per indagare e risolvere i reclami in merito alla raccolta e all’utilizzo dei loro dati da parte delle agenzie di intelligence statunitensi. Il ricorso si svolge tramite un meccanismo indipendente e imparziale, dinanzi ad un tribunale di riesame (la “Data Protection Review Court” o “DPCR”) di nuova istituzione.
L’interessato che desidera presentare un reclamo di questo tipo dovrà esporlo a un’autorità di controllo di uno Stato membro competente per la supervisione dei servizi di sicurezza nazionali o del trattamento dei dati personali da parte delle autorità pubbliche. Ciò dovrebbe permettere un via di accesso più semplice al meccanismo di ricorso, consentendo alle persone di rivolgersi a un’autorità “vicina a casa” e con la quale è possibile comunicare nella propria lingua. La DPRC esaminerà le decisioni prese dal funzionario per la protezione delle libertà civili dell’Office of the Director of National Intelligence in risposta ai reclami. Per garantirne l’indipendenza, i giudici del DPRC non saranno soggetti alla supervisione quotidiana del Procuratore generale e saranno tenuti ad esaminare le decisioni prese. Le decisioni della DPRC, compresa l’indicazione di misure correttive appropriate da parte delle agenzie di intelligence degli Stati Uniti, saranno definitive e vincolanti; tuttavia i singoli denuncianti non saranno informati se sono stati oggetto di attività di intelligence, ma riceveranno un avviso standardizzato in cui si dichiara che l’esame del DPRC è stato completato, senza chiarire se sia stata identificata o meno una violazione o se sia stata emessa una decisione che richiede un adeguato rimedio.
Quali sono i punti di domanda e gli scenari futuri
L’approvazione definitiva della decisione di adeguatezza è tutt’altro che certa. La bozza dovrà essere sottoposta all’European Data Protection Bioard, per un parere non vincolante; successivamente verrà chiesta anche l’approvazione di un comitato composto da rappresentanti degli Stati membri dell’UE. Inoltre, il Parlamento europeo opererà un controllo diretto su tale decisione di adeguatezza. Una volta completata questa procedura, la Commissione potrà procedere con l’adozione della decisione finale. Successivamente, il framework sarà soggetto a attività di screening periodico, che sarà effettuato dalla Commissione europea, insieme alle autorità garanti per la protezione dei dati e alle autorità statunitensi competenti.
Le problematicità non si fermano all’iter approvativo, ma si estendono anche al merito della decisione. Secondo l’opinione di esperti e attivisti, sembrano esserci dei profili di criticità che rimangono in sospeso, a partire dalla creazione della Data Protection Review Court. Infatti, una delle principali contestazioni operata dalla Corte di Giustizia nella sentenza Schrems II è stata l’istituzione di un “Ombudsperson”, cioè un meccanismo di controllo senza poteri investigativi o decisionali vincolanti come quello dell’Autorità Giudiziaria. La nuova procedura di ricorso verrà suddivisa in due fasi e il DPRC interverrà nell’esaminare i reclami. Nonostante ciò, il DPRC non costituirà un vero e proprio tribunale ma solamente un organo esecutivo del governo degli Stati Uniti e il ricorso non equivarrebbe a un ricorso giudiziario come richiesto dall’Unione Europea.
Inoltre, come sopra sottolineato, la Data Protection Review Court nel dare risposta ai reclami non comunicherà ai singoli denuncianti se sono stati oggetto di attività di intelligence, ma si limiterà a informare che l’indagine è stata eseguita (senza altro aggiungere). Questo però ha delle conseguenze importanti in quanto dà una risposta parziale e non permette di conoscere l’esito del proprio ricorso; il denunciante, pertanto, non dispone del materiale necessario per conoscere cosa effettivamente avvenga ai suoi dati nè per proporre un eventuale appello.
Come già detto, l’utilizzo delle espressioni “necessario” e “proporzionato” (invece del precedente “il più possibile su misura”) è mutuato dall’art. 52 della Carta fondamentale dei diritti dell’UE. Ciò di primo acchito può sembrare un avvicinamento al diritto dell’Unione Europea, ma in realtà non vi è alcuna garanzia che questi termini avranno la stessa interpretazione. Se effettivamente si interpretasse la norma secondo i canoni unionali, gli Stati Uniti dovrebbero essenzialmente limitare i loro sistemi di sorveglianza di massa per conformarsi al livello di “proporzionato” imposto dal diritto dell’Unione Europea. Tuttavia gli Stati Uniti nulla dicono in merito al cambio effettivo delle norme sulla sorveglianza e alla loro limitazione, nonostante questo tentativo di avvicinamento.
Perchè non è un problema giuridico ma un problema sistemico
Tutto quello che abbiamo detto sinora lascia però aperta una domanda: sarà sufficiente?
Il problema del trasferimento di dati ha rappresentato un problema molto serio non solo per le aziende, ma anche per il concetto di protezione dei dati in sé. Per mesi, ci si è ritrovati a sostenere una posizione complessa: da un lato è illegale utilizzare gli strumenti informatici più diffusi al mondo, che hanno un’influenza tale da aver plasmato la struttura del web intorno a loro; dall’altro non esistono alternative valide e conformi, soprattutto a prezzi ragionevoli.
A chi scrive sembra che ad averci perso sia stata la protezione dei dati in sé, trasformata, a causa di una poco lungimirante visione politica e di un quadro giuridico incompleto, in un orpello di poco conto. Una battaglia, apparentemente massimalista, che dà noia agli operatori senza portare benefici concreti agli individui.
E la soluzione? Sembra che non possa essere giuridica, come ricordato anche da molti commentatori. La soluzione è politica e presenta due sole opportunità: o gli USA retrocedono sulle proprie politiche di accesso ai dati, oppure l’Europa inizia la propria battaglia per l’indipendenza.
La prima, sicuramente più semplicistica, non è percorribile almeno allo stato attuale. Il TADPF lo dimostra: l’assenza di una definizione precisa di proporzionalità e la presenza di un sistema di ricorsi difficilmente esercitabili nella pratica parla da solo.
La seconda è la più difficile e rappresenta la sfida politica dei prossimi anni, non solo nel settore della data protection. Se l’UE vuole creare la propria posizione nel contesto politico globale, deve puntare sulla coerenza coi propri valori. Per questo scopo, è necessario cominciare a costruire la propria rete strategica di servizi a livello tecnologico, seguendo modelli rispettosi dei diritti e delle libertà. Una sfida difficile, che richiede grande risoluzione politica.
Sono, però, proprio la coerenza e la risoluzione politica che mancano. In un contesto fatto di compromessi, lobbysimo e, secondo la recente cronaca, anche di corruzione, è difficile sviluppare un livello omogeneo di tutela dei diritti. Si tratta di un discorso non nuovo. Dobbiamo decidere dove dobbiamo andare, specie nel mondo tecnologico. La domanda è una sola. Chi deciderà?