L’obiettivo del Privacy Shield, il nuovo ordine esecutivo emanato dall’amministrazione Biden, è fornire una risposta concreta alle riserve nutrite dall’Europa sulle pratiche di sorveglianza attuate dal governo degli Stati Uniti.

Lo scorso 7 ottobre il Presidente Joe Biden ha firmato l’Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities, il quale definisce un nuovo percorso verso il cosiddetto Privacy Shield, ovvero lo “scudo per la privacy” volto a tutelare il traffico transatlantico di dati in un’ottica di sicurezza e rispetto del diritto alla riservatezza. 

L’ordine esecutivo contiene le misure che gli Stati Uniti intendono adottare al fine di adempiere agli impegni assunti nell’ambito dell’European Union-U.S. Data Privacy Framework, annunciato lo scorso marzo dal presidente Biden e dalla presidente della Commissione Europea Von Der Leyen.  

L’accordo, infatti, ambisce a superare l’empasse in cui forzatamente si sono trovate migliaia di aziende a partire dal 2020, dopo che la Corte di Giustizia dell’Unione Europea ha invalidato il Privacy Shield UE-USA con una sentenza nel caso Data Protection Commissioner v. Facebook Ireland Ltd & Maximillian Schrems. A tal proposito Gina Raimondi, segretaria al Dipartimento del Commercio statunitense, ha dichiarato che l’ordine esecutivo del 7 ottobre sancisce il «culmine dello sforzo congiunto per ripristinare la fiducia e la stabilità dei flussi transatlantici di dati».

Il Dipartimento del Commercio statunitense e la Commissione Europea hanno già assistito negli anni alla nascita e al fallimento di altri framework comuni inerenti alla tutela della privacy. 

Un esempio è il Safe Harbor Framework siglato nel 2000, il quale si poneva come scopo la salvaguardia dei cittadini europei nelle relazioni commerciali o lavorative con aziende statunitensi – in questo quadro, le imprese decidevano liberamente se aderire al framework oppure adeguare in maniera autonoma il proprio sistema di tutela della privacy dei consumatori. In ogni caso, l’UE rendeva obbligatorio per i partner commerciali l’attuazione delle misure previste dal Safe Harbor per la partecipazione al mercato europeo. 

Tali misure ad oggi costituiscono la base imprescindibile del diritto alla privacy dei consumatori, e includono ad esempio la garanzia della conservazione criptata dei dati o la corretta informazione circa l’impiego delle informazioni personali raccolte dalle aziende. 

L’accordo crollò quando, nel giugno 2013, Edward Snowden divulgò migliaia di documenti della CIA, i quali mostravano come il governo statunitense avesse condotto negli anni attività di sorveglianza di massa, impattando anche i cittadini europei. 

Sebbene le relazioni transatlantiche in ambito privacy fossero severamente incrinate, tre anni dopo il caso Snowden venne stipulato il nuovo Privacy Shield tra UE e USA. Gli Stati Uniti rinnovarono il proprio impegno a conformarsi ai requisiti posti come imprescindibili dalle autorità europee per l’intrattenimento di sani rapporti commerciali. La differenza rispetto all’antecedente Safe Harbor era una clausola, prima inesistente: il governo statunitense avrebbe potuto adoperare i dati dei cittadini europei solo in caso di rischio di attacchi terroristici. 

Ebbene, anche questo secondo tentativo crollò nel luglio del 2020 con una sentenza della Corte di Giustizia dell’Unione Europea. I motivi erano i medesimi, in quanto secondo l’UE lo sforzo statunitense nella limitazione delle pratiche di sorveglianza dei dati era stato insufficiente, pertanto costituiva ancora una minaccia alla tutela della privacy per i cittadini europei. La sentenza ha avuto ripercussioni su numerose realtà aziendali, dalle più piccole alle più grandi come Barilla in Italia o Lidl in Germania. 

Da questo limbo promana l’accordo stipulato lo scorso 25 marzo, il quale vede una rinnovata intesa tra Europa e Stati Uniti nel progettare un nuovo quadro giuridico, che sia compatibile con la legge statunitense ma affronti le principali riserve sollevate dalla CGUE. 

In particolare, gli Stati Uniti si impegnerebbero a consolidare gli sforzi nella tutela della privacy per mezzo di misure vincolanti volte a limitare l’accesso ai dati da parte dell’intelligence statunitense in modo “necessario” e “proporzionato” alla sicurezza nazionale. Il secondo obiettivo riguarda l’installazione di un nuovo sistema di ricorso a due livelli per la risoluzione delle controversie in merito al trattamento dei dati.

Arriviamo dunque allo scorso 7 ottobre, data in cui viene firmato il nuovo Executive Order dall’amministrazione Biden per l’attuazione di nuove protezioni sulla privacy dei dati e la loro sicurezza, che è entrato immediatamente in vigore negli Stati Uniti. Per quanto riguarda l’Europa, si dovrà attendere aprile prima che i garanti della privacy producano il loro parere in merito. 

Cos’ha di diverso l’ordine esecutivo firmato da Biden? Il documento, rispetto al passato, intende più concretamente adeguare la normativa statunitense al GDPR (il Regolamento generale sulla protezione dei dati) per mezzo dell’implementazione di due punti principali.

L’ordine prevede la creazione di un meccanismo vincolante e, per questo, indipendente, che permetta agli utenti di richiedere un risarcimento in caso di controversia in cui viene lamentato l’utilizzo improprio dei dati personali da parte delle agenzie governative statunitensi.

Tale meccanismo “multilivello” consente ai cittadini di riguadagnare controllo sui propri dati: in un primo livello, il funzionario per la protezione delle libertà civili presso l’Ufficio del direttore dell’intelligence nazionale (CLPO) condurrà un’indagine iniziale sui reclami ricevuti per accertare l’avvenuta violazione della normativa, mentre un secondo livello di revisione vedrà l’opera di un apposito Tribunale di revisione sulla gestione dei dati personali (DPRC), il quale produrrà un’analisi indipendente e vincolante delle decisioni del CLPO.

La Commissione Europea non ha tardato a pronunciarsi in merito all’ordine esecutivo firmato da Biden. Nelle FAQ pubblicate emergono già alcune considerazioni, in particolare si ritiene che la principale novità rispetto al precedente Privacy Shield sia proprio il sistema a doppio livello di protezione. Tuttavia, la procedura di adozione della decisione di adeguatezza è ancora lunga e le prime valutazioni dell’avvocato ed attivista Max Schrems, tra gli artefici dell’annullamento del Privacy Shield, lasciano intendere che l’implementazione delle nuove misure è ancora lontana. 

In particolare, secondo Schrems la programmatica sorveglianza di massa messa in atto dagli Stati Uniti può trovare un efficace escamotage nelle due diverse concezioni dei termini giuridici “necessario” e “proporzionato”, usati per descrivere le nuove modalità di trattamento dei dati personali che gli Stati Uniti intendono adottare. L’ambiguità nell’interpretazione di questi termini incrina i criteri di valutazione nell’impiego dei dati, rischiando di avere ripercussioni sui cittadini europei. Oltretutto, Schrems sostiene che il Tribunale previsto dal sistema a doppio livello in realtà non sarebbe che un prolungamento del ramo esecutivo del governo statunitense. 

Da queste preoccupazioni emerge quanto sia necessaria la creazione di un contesto legale chiaro, stabile e accessibile per la protezione della privacy. In particolare, il commercio transatlantico è composto per la maggior parte da PMI che non possiedono le risorse necessarie per investire in meccanismi legali costosi. Pertanto, in assenza di un quadro giuridico internazionale, intrattenere rapporti commerciali chiari e trasparenti sarà sempre più complesso, rischiando di escludere le realtà aziendali dal commercio internazionale.