Dopo cinque anni di negoziazioni, il 2 giugno gli Usa e l'Unione europea hanno firmato l'Umbrella Agreement (qui il comunicato stampa). Il Parlamento europeo deve ancora dare il suo consenso all’accordo, ma in linea di massima non ci dovrebbero essere più ostacoli alla sua adozione.
L’accordo Umbrella (qui il testo) è la seconda gamba degli accordi in materia di tutela dei dati tra Unione europea e Stati Uniti, laddove la prima è il Privacy Shield, altro accordo però criticato anche dalle stesse istituzioni dell’Unione europea. Le negoziazioni tra Usa e Unione sono iniziate anni fa, ma le rivelazioni di Edward Snodwen, e le notizie in merito alle violazioni dei diritti dei cittadini europei, hanno reso i negoziati sempre più difficili. L’Unione europea ha, infatti, avanzato alcune richieste imprescindibili al solo fine di poter proseguire i negoziati, fissando alcuni punti essenziali.
In particolare, si è evidenziato che solo i cittadini americani e residenti permanenti negli Usa hanno diritto di adire le autorità giudiziarie americane, mentre gli europei che vivono negli Usa ed anche gli europei residenti in Europa (non-US) non possono citare in giudizio le agenzie federali in caso di utilizzo improprio dei loro dati. Il prerequisito essenziale è stato, quindi, l’estensione dei diritti degli americani in base al Privacy Act del 1974 anche agli europei, pur tenendo presente che il Privacy Act esenta le forze dell’ordine americane.
La firma all’accordo è, quindi, la diretta conseguenza dell’approvazione del Judicial Redress Act, il quale concede ai cittadini europei il diritto di ricorso giurisdizionale negli Stati Uniti. Purtroppo tale legge americana soffre di numerose limitazioni che rendono difficile sostenere che gli europei siano davvero tutelati. Nella pratica sarà possibile agire contro le autorità americane al fine di ottenere un risarcimento nei soli casi di comunicazione intenzionale che determina un danno all’interessato, fermo restando che non vi è una effettiva definizione di danno.
In realtà, il Judicial Redress Act è voluto più che altro dalle aziende americane. L’erosione della fiducia globale sia nel governo degli Usa che della tecnologia statunitense, ha determinato una forte sofferenza del settore (qui il rapporto sull’incidenza della sorveglianza americana sul settore tecnologico), da cui la necessità di ripristinare la fiducia del pubblico. Ecco perché un gruppo di aziende e associazioni di settore ha scritto ai leader del Senato per una rapida approvazione della legge.
L’obiettivo dichiarato dell’accordo Umbrella (che non si applica alla Danimarca, Irlanda e Regno Unito) è quello di porre in essere un quadro globale di protezione dei dati tra Usa e UE, al fine di favorire la cooperazione giudiziaria e di polizia in materia penale e di terrorismo (“prevention, investigation, detection or prosecution of criminal offenses, including terrorism”).
L’accordo copre tutte le informazioni personali (nomi, indirizzi, dati del casellario penale) condivise tra le autorità di polizia degli Stati dell’Unione e degli Usa, e stabilisce norme comuni per la protezione della privacy.
Quindi, fissa una serie di misure a tutela dei dati, applicando limiti rigorosi all’utilizzo dei dati per solo fini compatibili, limiti temporali per il mantenimento dei dati, e impone al destinatario obblighi in materia di sicurezza dei dati e di accuratezza degli stessi (con relativo diritto di accesso ai dati per verificarne l’accuratezza), nonché in materia di notificazione di eventuali violazioni.
Infine, richiede un consenso specifico del cedente perché le agenzie Usa possano trasferire i dati ad altro paese od organizzazione internazionale.
Ovviamente concede, in base al Judicial Redress Act, il diritto al risarcimento del danno, per cui i cittadini potranno adire l’autorità americana dinanzi ad un tribunale americane in caso di mancato rispetto degli obblighi dell’accordo.
Ad una più approfondita analisi, però, sono numerosi i dubbi che sorgono in merito all’accordo Umbrella.
Innanzitutto le regole sono molto vaghe e consentono estrema discrezionalità alle autorità Usa.
Ad esempio, la notificazione della violazione della privacy deve aversi in presenza di un “rischio significativo di danni” (“significant risk of damage”), senza però fornire alcuna informazione su ciò che costituisce danno. Il danno generalmente è inteso come danno economico, per cui altri tipi di danni (immagine) potrebbero essere esclusi.
In materia di sicurezza si prevede l’obbligo di adottare regole per la conservazione dei dati che siano “necessarie e appropriate”, senza alcun ulteriore specificazione.
In base all’accordo i dati, inoltre, possono essere conservati per un periodo di tempo per poi poter essere utilizzati in una successiva indagine. Il periodo di tempo non è stabilito (“not retained for longer than is necessary and appropriate”), e poiché le norme dovrebbero applicarsi anche all’accordo PNR che prevede un tempo di 15 anni, il periodo di conservazione potrebbe essere il medesimo.
Infine, per poter agire in sede giudiziaria occorre esercitare il diritto di accesso ai dati, ma tale accesso potrebbe essere limitato dalle autorità, ad esempio per proteggere i diritti di altri, per salvaguardare la sicurezza pubblica e privata, per impedire l’ostruzione di indagini od investigazioni. Infine l’accesso potrebbe non essere gratuito, essendo soltanto specificato che il costo non deve essere eccessivo (“excessive expenses shall not be imposed”).
Va fatta un’ultima considerazione. l’accordo prevede una definizione di “trattamento dei dati” (“Processing of personal information” means any operation or set of operations involving collection, maintenance, use, alteration, organization or structuring, disclosure or dissemination, or disposition”) che risulta più aderente alla prospettiva europea che a quella americana. Infatti nell’accordo si definisce trattamento (processing) anche la raccolta (collection) dei dati, come è in Europa. Mentre in realtà negli Usa la raccolta dei dati non è sempre considerata trattamento, almeno fin quando non vi sia un utilizzo, tramite selezione, dei dati raccolti. Occorrerà verificare l’accordo porterà a modifiche della prospettiva americana in materia, oppure gli Usa continueranno a considerare il trattamento nella sua definizione più restrittiva.