Trasferimenti di dati UE-USA: E' tempo di prepararsi ad altri problemi

Post sul blog di Max Schrems

Stratificazione del diritto statunitense e dell'UE. Il "ponte" che la Commissione europea e le precedenti amministrazioni democratiche statunitensi hanno costruito per consentire il trattamento dei dati personali dell'UE negli Stati Uniti non si basa su una legge sulla privacy semplice e stabile. Al contrario, l'UE e gli Stati Uniti si sono basati su un mosaico selvaggio di tonnellate di linee guida e regolamenti interni, sulla giurisprudenza della Corte Suprema, sulle "pratiche" statunitensipratiche"o ordini esecutivi.

Nel tentativo di far quadrare i conti, questi strati non si sostengono l'un l'altro, ma sono allineati in modo da generare il più sottile collegamento possibile tra il diritto dell'UE e quello degli Stati Uniti - il che significa che il fallimento di un solo uno solo dei tanti elementi giuridici renderebbe probabilmente illegale la maggior parte dei trasferimenti di dati tra l'UE e gli USA. Proprio come un castello di carte, l'instabilità di una singola tessera farà crollare la casa.

Dato l'approccio enormemente distruttivo dell'amministrazione Trump, molti elementi dei trasferimenti UE-USA sono sotto attacco, spesso non a causa di intenzioni dirette. Invece, l'attuale amministrazione statunitense si limita ad attaccare ampiamente il sistema legale e il tessuto costituzionale degli Stati Uniti (con l'aiuto di una Corte Suprema altamente politicizzata) - con molte potenziali conseguenze per i flussi di dati UE-USA.

primo probabile punto di fallimento: Indipendenza della FTC. Lunedì scorso la Corte Suprema degli Stati Uniti ha discusso un caso sull'indipendenza della Federal Trade Commission (FTC). Da un caso del 1935 (Esecutore di Humphrey), la Corte Suprema degli Stati Uniti ha stabilito che il legislatore statunitense può creare organismi "indipendenti" all'interno del ramo esecutivo, che è in qualche modo isolato dal Presidente degli Stati Uniti.

Una teoria finora marginale, secondo la quale, in base alla Costituzione degli Stati Uniti, tutti i poteri dell'esecutivo devono spettare a una sola persona (il Presidente), ha ora guadagnato terreno tra i giuristi conservatori statunitensi. Questa cosiddetta "teoria dell'esecutivo unitario" renderebbe qualsiasi autorità indipendente, come la FTC, tipicamente incostituzionale. Tutti i poteri dovrebbero essere concentrati nel Presidente.

In Trump contro Slaughterla Corte Suprema degli Stati Uniti ha ascoltato le argomentazioni di un commissario della FTC che è stato rimosso da Trump nonostante tutte le garanzie di indipendenza previste dal 15 U.S.C. § 41. Sulla base dei commenti e delle domande dei giudici, è opinione diffusa (cfr. ad es. The Guardian, CNN o Blog SCOTUS) che la maggioranza conservatrice della Corte Suprema degli Stati Uniti si schiererà con Trump e (in una misura o nell'altra) seguirà la "teoria dell'esecutivo unitario", annullando l'indipendenza della FTC.

In combinazione con le sentenze della Corte Suprema degli Stati Uniti su immunità assoluta del Presidentegli Stati Uniti si avvierebbero sempre più verso un sistema in cui il Presidente è un "re" assoluto, almeno per quattro anni.

Dal punto di vista europeo, l'indipendenza della FTC è un elemento cruciale, perché l'articolo 8(3) della Carta dei diritti fondamentali dell'UE (CFR) richiede che il trattamento dei dati personali sia monitorato e fatto rispettare da un "organismo indipendente"indipendenteindipendente". Nel TADPF (e in precedenza nei sistemi "Safe Harbor" e "Privacy Shield"), l'UE e gli USA hanno concordato di conferire questi poteri alla FTC negli Stati Uniti, che è un organismo "indipendente". Sezione 2.3.4. della Decisione TADPF della Commissione europea sottolinea che il ruolo di enforcement spetta alla FTC. Il considerando 61 e la nota 92 fanno esplicito riferimento a 15 U.S.C. § 41 come base per avere le necessarie garanzie di indipendenza negli Stati Uniti.

Nessun altro elemento della TADPF ha i poteri investigativi e l'indipendenza necessari. Esistono anche arbitrati privati, ma sono privi di poteri investigativi o di poteri esecutivi. Di conseguenza, qualsiasi partecipante alla TADPF deve essere governato dall'indipendente FTC o dal DoT (per le organizzazioni di trasporto).

Trump contro Slaughter è prevista per giugno o luglio 2026 al più tardi, ma potrebbe essere decisa prima. È quindi giunto il momento di "allacciare le cinture" e prepararsi.

Una strada potrebbe essere quella di passare agli SCC o ai BCR, in quanto non richiedono un organismo statunitense indipendente per l'applicazione, ma consentono anche di assoggettare l'accordo a un'autorità di protezione dei dati dell'UE. Tuttavia, ci sono anche enormi interrogativi su come i dati già trasferiti possano essere "riportati" in qualsiasi sistema approvato dall'UE o addirittura "riportati" nell'UE in generale. Inoltre, gli SCC e i BRC potrebbero essere influenzati da cambiamenti massicci nella legislazione statunitense (vedi sotto).

secondo probabile punto di fallimento: Tribunale per il riesame della protezione dei dati. Direttamente in relazione a Trump contro Slaughter, che riguarda la sorveglianza nel settore privato, si pone la questione parallela di come il cosiddetto "Tribunale per la revisione della protezione dei dati" (DPRC) possa ancora essere considerato una forma di ricorso realistico contro la sorveglianza del governo statunitense.

Il DPRC presenta molti problemi legali (si potrebbe facilmente riempire una tesi di dottorato con questi problemi), ma, cosa fondamentale, il DPRC non è non un vero e proprio tribunale statunitense, anche perché non è stato istituito per legge. Si tratta in realtà di un gruppo di persone all'interno del ramo esecutivo, istituito esclusivamente da un ordine esecutivo di Biden (EO 14.086vedi dettagli sotto). Questo gruppo di persone può al massimo essere definito un "tribunale" dal punto di vista dell'articolo 6 della CEDU, ma anche questa affermazione è probabilmente un'esagerazione.

Il punto cruciale è che, in relazione a Trump contro Slaughterl'"indipendenza" di questa cosiddetta "Corte" non è nemmeno stabilita dalla legge (come il 15 USC § 41 per la FTC), ma dalla EO 14.086quindi un ordine presidenziale meramente interno che può essere modificato in qualsiasi momento.

Logicamente, se la Corte Suprema in Trump contro Slaughter ha stabilito che gli organi esecutivi indipendenti sono incostituzionali, è possibile che qualsiasi rivendicazione di indipendenza contenuta nell'EO 14.086 sia (logicamente) anch'essa incostituzionale. Questo dipende molto dalla linea di argomentazioni che la Corte Suprema utilizzerà in Trump contro Slaughterma è molto probabile che questo sia una conseguenza diretta di una sentenza più ampia.

Il problema si estenderebbe ben oltre la TADPF, perché altri sistemi di trasferimento (SCC o BCR) si basano sulle cosiddette "Valutazioni d'impatto del trasferimento" (TIA) che a loro volta di solito puntano su EO 14.086 e alla DPRC come motivo per cui qualsiasi controllore dell'UE è giunto alla conclusione che la legge statunitense non può scavalcare le SCC o le BCR al di là di quanto consentito dagli articoli 7, 8 e 47 della Carta.

Se questi elementi non ci sono più, ci si riduce all'articolo 49 del GDPR per i trasferimenti "necessari" (ad esempio, l'invio di un'e-mail negli Stati Uniti, l'inoltro di un ordine o la prenotazione di un hotel o di un volo), ma qualsiasi "esternalizzazione" a fornitori di cloud o SaaS statunitensi non avrebbe in genere più alcuna base giuridica valida.

terzo probabile punto di fallimento: EO 14.086. Oltre ai cambiamenti nel diritto costituzionale degli Stati Uniti, c'è anche Trump stesso come fattore di rischio principale. Come spiegato in precedenza, praticamente tutte le forme di trasferimento di dati tra l'UE e gli Stati Uniti si basano su un ordine esecutivo di Biden (EO 14.086). Trump ha ripetutamente minacciato di annullare questo ordine esecutivo. Già il giorno del suo insediamento, i media hanno indicato che avrebbe annullato alla cieca tutti i Biden EO. Alla fine ha firmato EO 14.148che ha annullato solo 68 Biden EO e 11 Biden Presidential Memoranda, ma non l'EO 14.086.

LA EO 14.148 richiede che tutti gli ordini del giorno sulla "sicurezza nazionale" siano esaminati entro 45 giorni dal Consigliere per la sicurezza nazionale, il che sarebbe dovuto accadere entro il 6 marzo 2025. Non ci sono state segnalazioni di modifiche conseguenti. Ciò non significa che la EO 14.086 non sia stata (parzialmente) annullata nel frattempo, in quanto il Presidente degli Stati Uniti può emettere "ordini di sicurezza nazionale" Presidente degli Stati Uniti può emettere "segreto" Segreti" che modificano la EO 14.086 pubblicata. Date le azioni irregolari di Trump, questo non è uno scenario improbabile.

In un recente sfogo sull'uso del cosiddetto Autopen da parte di Biden, Trump ha dichiarato nulli tutti gli EO di Biden firmati con l'autopen tramite un post su Truth Social Truth Social. Non è affatto chiaro se l'EO 14.086 sia un EO "autopen" e se i post di Trump sui social media equivalgano a un annullamento formale di questi EO. Allo stesso tempo, c'è da chiedersi se qualche funzionario dell'NSA si senta ancora troppo vincolato da questi documenti. Non è inoltre improbabile che il post di Truth Social possa essere seguito da un EO formale che ribalti questi EO di Biden.

Un'altra indicazione del fatto che l'EO 14.086 potrebbe essere in linea è l'agenda del "Progetto 2025" per l'acquisizione del governo degli Stati Uniti da parte dei conservatori. A pagina 225l'autore si scaglia contro la EO 14.086, l'UE e il presunto trattamento ingiusto degli Stati Uniti - quindi la EO 14.086 è chiaramente all'ordine del giorno. Per rendere le cose ancora più assurde, l'autore (Dustin Carmack) è ora il nuovo lobbista "repubblicano" di Meta - un'azienda che si basa sull'EO 14.086 per giustificare i suoi trasferimenti di dati tra l'Unione Europea e gli Stati Uniti, contestati nel caso Schrems I Schrems I e Schrems II.

Nel complesso, la EO 14.086 potrebbe cadere da un momento all'altro - e con essa la TADPF e quasi tutti i TIAS e la maggior parte degli SCC e BCR.

Molte altre opzioni. Anche se questo va oltre il presente post, ci sono molte altre domande sui molti altri elementi utilizzati nella TADPF.

Rimangono ovviamente i principali dubbi sul fatto che la TADPF abbia mai raggiunto l'"equivalenza essenziale"equivalenza essenziale". Per esempio:

• Le protezioni contenute nella EO 14.086 erano in gran parte una copia 1:1 di una EO di Obama chiamata PPD-28, che è stata respinta dalla CGUE in Schrems II.
• Gli oneri estremamente elevati per il ricorso o la mancanza di un vero e proprio diritto di essere ascoltati davanti al DPRC sono ben lontani dall'articolo 47 della Carta.
• I principi di protezione dei dati commerciali della TADPF non richiedono nemmeno una base giuridica (come richiesto dall'articolo 8, paragrafo 2, della Carta e dall'articolo 6, paragrafo 1, del GDPR), ma richiedono solo di consentire un opt-out.

Inoltre, sono stati sollevati dubbi sull'indipendenza del PCLOB o sulla forte dipendenza dell'UE dalle "pratiche statunitensi" (non scritte)Pratiche statunitensiquando Trump ha dimostrato che lui e la sua amministrazione non rispettano nemmeno le leggi, per non parlare delle "pratiche" precedentipratiche".

Cosa possiamo fare? A mio avviso, I governi e i responsabili del trattamento dei dati dell'UE devono (più che mai) prepararsi con urgenza ai probabili colpi ai trasferimenti di dati tra UE e USA nei prossimi mesi. La Strategia di sicurezza nazionale degli Stati Uniti ha chiarito che l'amministrazione Trump vede l'Europa più come un nemico che come un partner e che la legislazione digitale europea è un punto centrale della probabile aggressione statunitense.

L'unica soluzione a lungo termine è (purtroppo) quella di limitare i trasferimenti di dati ai fornitori statunitensi, nella misura in cui questi abbiano "possesso, custodia o controllo"possesso, custodia o controllo" di dati personali europei. Potrebbero esserci altre offerte in cui l'accesso ai dati dagli Stati Uniti è tecnicamente impossibile, ma finora l'unica protezione realistica disponibile sul mercato è quella di rivolgersi a Fornitori europei.