Un’altra tegola cade sulla già traballante decisione 1250/2016 della Commissione europea (Privacy Shield) entrata in vigore il primo agosto del 2016, che autorizza il trasferimento dei dati dei cittadini europei da parte delle aziende americane, così tentando (il condizionale è d’obbligo) di conciliare due regolamentazioni molto differenti tra loro (Usa e europea).
Il 6 aprile 2017 la sessione plenaria del Parlamento europeo approva una risoluzione non legislativa (qui il comunicato stampa) con la quale i deputati europei chiedono alla Commissione europea di condurre una valutazione approfondita sul Privacy Shield, anche in relazione ai nuovi provvedimenti adottati dall’amministrazione americana in materia di privacy (ordine esecutivo di gennaio e norme di marzo). L’intento ovvio è di garantire che i dati trasferiti per scopi commerciali siano tutelati in maniera efficace ed equivalente alle norme europee.
In realtà già nel maggio del 2016 il Parlamento aveva espresso le proprie preoccupazioni, con una risoluzione non legislativa, sui negoziati con gli Usa. Risoluzione però ignorata dalla Commissione.
La nuova politica americana pare abbia invertito la rotta rispetto alle aperture della precedente amministrazione. A seguito dello scandalo delle intercettazioni dell’NSA, l’amministrazione Obama aveva avanzato alcune nuove regole e varie promesse, per avvicinare la normativa americana a quella più tutelante degli europei. In particolare i funzionari europei hanno fatto affidamento sulla tutela della privacy come stabilito dall’ordine presidenziale 28 (Presidential Policy Directive 28, PPD-28) che delinea la tutela di base per gli stranieri. Ma alcune norme dell’amministrazione Obama non sono nemmeno entrate in vigore che il nuovo Presidente Trump le ha cancellate. Inoltre, le nuove regole americane consentono agli ISP e alle agenzie di sicurezza di condividere dati con terzi ed altre agenzie, liberamente, senza necessità di consenso. Soprattutto, il Privacy Shield non mostra, ancora, una possibilità efficace da parte dei cittadini europei di ottenere una tutela giurisdizionale o amministrativa dei propri diritti.
La situazione, quindi, è paradossalmente peggiorata rispetto al passato. Ancora oggi valgono le preoccupazioni sui seguenti punti:
- accesso delle autorità pubbliche Usa ai dati trasferiti;
- possibilità di raccolta indiscriminata dei dati non conforme ai criteri di necessità e proporzionalità;
- complessità ed inefficacia dei meccanismi di ricorso.
Per comprendere le problematicità del Privacy Shield occorre fare il raffronto con quanto statuito dalla Corte di Giustizia europea con la sentenza nel caso Schrems, sentenza con la quale invalidava il precedente accordo con gli Usa (Safe Harbour), in particolare perché un cittadino europeo non ha alcuna possibilità di ricorso legale per far valere i propri diritti contro l'Nsa o le agenzia di sicurezza in caso di abusi sui suoi dati. L'FTC e le autorità per la risoluzione delle controversie hanno, infatti, competenza solo sulle questioni commerciali e quindi contro le aziende. Cioè il cittadino europeo non ha alcun giudice a cui rivolgersi. E ciò in violazione dell’articolo 28 della direttiva 95/46.
Inoltre la Corte sanciva, in ossequio a precedenti pronunce (sentenze 24 novembre 2011 e 16 febbraio 2012, e soprattutto la sentenza dell’8 aprile 2014 che invalidava la Direttiva sulla Data Retention, e la sentenza del 21 dicembre 2016), che un monitoraggio dei dati dei cittadini europei senza limiti, che non sia mirato e collegato a situazioni ben specifiche, ad esempio indizi di reato, deve ritenersi incompatibile col diritto primario dell'Unione europea.
L’accesso ai dati delle comunicazioni elettroniche permette di inferire conclusioni molto precise riguardo la vita privata delle persone, per cui una tale inferenza limita i diritti fondamentali dei cittadini.
L’articolo 15 della la direttiva ePrivacy stabilisce specifici requisiti per rendere legittima una interferenza di questo tipo, precludendo una raccolta generale e indiscriminata del traffico e dei dati di localizzazione, in quanto non è proporzionata e quindi non può essere giustificata in una società democratica.
La Corte ammette solo la possibilità di imporre obblighi di raccolta di dati per obiettivi specifici al fine di repressione o contrasto di reati gravi, purché limitati temporalmente e ai dati strettamente necessari. Inoltre, l’accesso ai dati da parte delle autorità deve essere soggetto a specifiche condizioni, incluso il controllo da parte di un’autorità indipendente (giudice o ente amministrativo).
L’articolo 15 è stato trasposto nell’articolo 11 del nuovo Regolamento Generale in materia di protezione dei dati personali. L’elemento essenziale per rendere legittima la raccolta dei dati è l’individualizzazione. L’ordine deve necessariamente identificare uno o più sospetti, oppure una serie di locali nei quali si presume siano in atti reati. Inoltre, la Corte fa riferimento a criteri oggettivi da soddisfare, i quali devono stabilire una connessione tra l’obiettivo perseguito e i dati da conservare.
Per quanto riguarda il Privacy Shield, nei fatti è un insieme di documenti provenienti da varie amministrazioni USA, che si limitano a tracciare le garanzie applicabili ai dati dei cittadini europei trasferiti per scopi commerciali negli Usa. Tali documenti servono da base per la decisione della Commissione europea che certifica la “equivalenza” della tutela americana rispetto a quella applicabile nell’Unione europea.
Il primo problema che pone il Privacy Shield è che non limita la possibilità, per le agenzie americane, di intercettare le comunicazione in quantità indiscriminata (bulk collection). Autorizza (Sezione 702 introdotta dal FISA Act) invece una raccolta generalizzata ed indiscriminata dei dati (cioè non mirata). La normativa Usa non ritiene la raccolta indiscriminata un effettivo trattamento (una modifica in tal senso sarà introdotta dall’Accordo Umbrella), ma trattamento è solo l’utilizzo dei dati raccolti. Quindi all’insieme di dati raccolti viene poi applicato un filtro (selector), che potrebbe essere un indirizzo mail, un nome, un numero di telefono od altro, per l’estrazione dei dati. Per gli americani questa è sorveglianza mirata. Una lettera dell’Office of the Director of National Intelligence (ODNI), però, raccomanda alle agenzie di dare priorità ai “targeted signals intelligence” piuttosto che alla raccolta indiscriminata (bulk).
Il PPD-28 di Obama limita (Sezione 2) limita l'utilizzo dei dati della raccolta bulk, a soli sei specifiche ipotesi: spionaggio, minacce terroristiche, armi di distruzione di massa, cyberminacce, minacce alle forze armate Usa, reati finanziari e evasione fiscale. Si tratta di ipotesi eccessivamente ampie e generiche, e comunque tali limitazioni non si applicano ai dati raccolti per facilitare la raccolta mirata (“signals intelligence data temporarily acquired to facilitate targeted collection”).
Inoltre, per gli americani gli obiettivi sono le informazioni, non i singoli sospetti. La Sezione 702 limita la raccolta alle “foreign intelligence information”, cioè alle informazioni relativa a: atti di terrorismo o di terze parti intente a danneggiare la sicurezza degli Usa, e difesa nazionale, sicurezza o affari esteri. Anche qui le definizioni sono estremamente generiche e non prevedono che gli ordini di sorveglianza siano relativi a persone o luoghi nei quali si ritiene siano in corso reati.
Di contro anche la Corte europea dei diritti dell’uomo stabilisce che l’ordine di sorveglianza deve chiaramente identificare “a specific person to be placed under surveillance or a single set of premises as the premises in respect of which the authorisation is ordered. Such identification may be made by names, addresses, telephone numbers or other relevant information” (Zakharov v Russia).
La raccolta generalizzata dei dati, e comunque l’uso in ipotesi tratteggiate genericamente, appare in contrasto con la normativa europea come interpretata dalla Corte di Giustizia.
Un altro aspetto in contrasto con la normativa europea riguarda il Difensore Civico (Ombudsperson) previsto per la tutela dei diritti degli europei (tra l’altro il posto è ancora vacante anche se il Privacy Shield è già in vigore).
Il Difensore Civico è indipendente alle agenzie di intelligence, ma manca di sufficiente indipendenza dall’esecutivo americano (dipende dal Segretario di Stato e “reports directly to the Secretary of State”), ponendo seri dubbi sulla sua possibilità ed efficacia nella tutela dei diritti degli europei. Il Difensore Civico si limita a confermare che è stato posto rimedio all’abuso dei dati, senza però poter confermare o negare che l’individuo è stato bersaglio di sorveglianza. Senza dimenticare che non esiste alcun ricorso contro le violazioni da parte delle agenzie americane, visto che il Difensore Civico può agire solo nei confronti delle aziende.
Anche questo aspetto è in contrasto con la giurisprudenza della Corte europea e le norme europee.
È vero che, come ha sottolineato la Commissione europea, la normativa non pretende una protezione identica a quella europea, ma solo equivalente (art. 25 Direttiva Data Protection), quindi non è necessario che le norme siano sovrapponibili. Però occorre una tutela che sia adeguata e in grado di proteggere i diritti fondamentali dei cittadini. Col Privacy Shield ciò non appare, perché la norme americane consentono una interferenza massima nella vita privata dei cittadini, laddove autorizzano una raccolta indiscriminata dei dati, salvo introdurre limitazioni solo in fase di estrazione dei dati dall’insieme di quelli raccolti. Il problema non è dato dallo strumento utilizzato per il trasferimento dei dati, quindi Safe Harbor, Privacy Shield o model clauses, quanto dalla legislazione Usa che è in contrasto con i principi fondamentali tutelati dalla normativa europea. Quello che occorre è una modifica di tale normativa.
La posizione della Commissione europea appare ambigua, nel senso che da un lato sostiene che il Privacy Shield si può considerare “equivalente” alla normativa europea, dall’altro però appare ignorare le richieste di valutazioni approfondite da parte del Parlamento. Il commissario Jourová ha sostenuto di aver ricevuto assicurazioni sulla validità del Privacy Shield, aggiungendo che in caso di sviluppi che possano influire negativamente sul livello di protezione assicurato dalla decisione, la Commissione prenderà gli opportuni provvedimenti.
C’è da ricordare, però, che attualmente anche i Garanti nazionali possono contestare la validità dei trasferimenti verso gli Usa, sospendendoli o addirittura bloccandoli del tutto. Il CNIL francese potrebbe fare da apripista, essendosi mostrato particolarmente attivo nei confronti delle grandi aziende americane.
La prima revisione del Privacy Shield si terrà a settembre 2017.