Il nuovo quadro transatlantico sulla privacy dei dati è in gran parte una copia del "Privacy Shield". noyb impugnerà la decisione.
Il terzo tentativo della Commissione europea di ottenere un accordo stabile sui trasferimenti di dati tra l'UE e gli Stati Uniti tornerà probabilmente davanti alla Corte di giustizia (CGUE) nel giro di pochi mesi. Il presunto "nuovo" quadro transatlantico sulla privacy dei dati è in gran parte una copia del fallito "Privacy Shield". Nonostante gli sforzi di pubbliche relazioni della Commissione europea, la legge statunitense o l'approccio adottato dall'UE non cambiano di molto. Il problema fondamentale del FISA 702 non è stato affrontato dagli Stati Uniti, che continuano a ritenere che solo le persone statunitensi siano degne dei diritti costituzionali.
- Confronto tra le modifiche apportate alla legge statunitense dal 2014:
- Confronto con le precedenti iniziative di pubbliche relazioni:
- Progetto di decisione di adeguatezza della Commissione europea (dicembre 2022)
Premessa. Nel 2013 Edward Snowden ha rivelato che il governo degli Stati Uniti utilizzava le aziende "big tech" e programmi come"PRISM" o"Upstream" ai sensi della FISA 702 e della EO 12.333 per spiare il resto del mondo senza la necessità di una causa probabile o di un'approvazione giudiziaria. Questo non si limitava alla criminalità o al terrorismo, ma includeva anche lo spionaggio sui "partner" degli Stati Uniti. A partire da una legge dell'UE del 1995, i dati personali non possono essere inviati al di fuori dell'UE a meno che non vi sia una protezione "sostanzialmente equivalente" nel paese di destinazione. L'industria statunitense ha fatto molto affidamento su una decisione della Commissione europea chiamata "Safe Harbor", che nel 2000 ha dichiarato gli Stati Uniti "sostanzialmente equivalenti". Nel 2015 la CGUE ha annullato la decisione della Commissione nella causa C-362/14 ("Schrems I"), in considerazione delle vaste leggi di sorveglianza statunitensi. Nel 2016 la Commissione europea ha approvato nuovamente la stessa decisione sui trasferimenti di dati UE-USA, con il nuovo nome di "Privacy Shield", che è stata invalidata dalla CGUE nella causa C-311/18 ("Schrems II") nel 2020, in gran parte per gli stessi motivi.
I trucchi "magici" di Ursula e Joe. Dopo l'annullamento dello "Scudo per la privacy", i negoziati tra l'UE e gli USA hanno registrato pochi progressi. Gli Stati Uniti hanno insistito sul fatto che i dati dell'UE rimarranno soggetti alla sorveglianza di massa degli Stati Uniti e che le persone "non statunitensi" non avranno le stesse protezioni di quelle statunitensi. Dopo oltre un anno e mezzo di progressi, gli Stati Uniti avrebbero utilizzato la guerra in Ucraina per esercitare pressioni sull'UE in merito alla condivisione dei dati personali. Subito dopo, Joe Biden e Ursula von der Leyen si sono incontrati il 25 marzo 2022. Lo stesso giorno, i due hanno improvvisamente "risolto" ciò che gli avvocati non erano in grado di risolvere e hanno presentato un"accordo di principio", un foglio unico che in sostanza conteneva due "trucchi" che dovrebbero tranquillizzare l'opinione pubblica:
- In primo luogo, la CGUE ha stabilito che la sorveglianza di massa FISA 702 non è "proporzionata" ai sensi dell'articolo 52 della Carta dei diritti fondamentali dell'UE (CFR). Il "nuovo" ordine esecutivo statunitense 14086 (che è in gran parte equivalente al PPD-28 del 2014) includerebbe ora la parola "proporzionato". Il "trucco" è che gli Stati Uniti attribuiranno alla parola "proporzionato" un significato diverso da quello della CGUE. L'EO 14086 dichiara la sorveglianza di massa FISA 702 "proporzionata" in base a un'accezione non rivelata del termine da parte degli Stati Uniti e in contrasto con le due conclusioni della CGUE. In questo modo l'UE e gli USA hanno potuto affermare di essere d'accordo sulla stessa parola ("proporzionata"), anche quando non c'è accordo sul significato della parola.
- In secondo luogo, la CGUE ha ritenuto che il ricorso tramite il "mediatore" dello scudo per la privacy non fosse nemmeno lontanamente conforme all'articolo 47 del QCR - anche quando il mediatore era stato salutato dalle pubbliche relazioni della Commissione nel 2016 come una forma "indipendente" di "ricorso nel settore della sicurezza nazionale". Il "trucco" sul ricorso: il meccanismo dell'Ombudsperson è stato rinominato e suddiviso in un Funzionario per la protezione delle libertà civili (CLPO) e in una cosiddetta "Corte" (che non è un tribunale, ma un organo esecutivo parzialmente indipendente). Sebbene vi siano alcuni piccoli miglioramenti rispetto all'Ombudsperson, l'individuo non avrà alcuna interazione diretta con i nuovi organismi (dovrà inviare un reclamo a un'autorità di protezione dei dati dell'UE e non sarà ascoltato dagli Stati Uniti) e questi daranno esattamente la stessa risposta del precedente "Ombudsperson". In base alla EO 14086, il CLPO e la Corte devono in ogni caso rispondere dicendo:"Senza confermare o negare che il denunciante sia stato oggetto di attività di intelligence dei segnali degli Stati Uniti, l'esame non ha individuato alcuna violazione coperta o il Tribunale per il riesame della protezione dei dati ha emesso una decisione che richiede un adeguato rimedio" (vedi qui). La "sentenza" di questo "tribunale" è quindi nota ancor prima che venga intentata una causa. Il meccanismo presenta molti altri problemi, che in gran parte garantiranno che le denunce non vengano nemmeno ammesse. Sembra impensabile che la Corte di giustizia possa accettarlo come "ricorso giudiziario" ai sensi dell'articolo 47 CFR.
- Infine, gli Stati Uniti si sono rifiutati di riformare il FISA 702 per garantire a persone non statunitensi una ragionevole protezione della privacy. Su entrambe le sponde dell'Atlantico si concorda sul fatto che il FISA 702 e l'EO 12.333 violano i diritti fondamentali ai sensi del 4° Emendamento negli Stati Uniti e degli articoli 7, 8 e 47 CFR nell'Unione Europea - ma gli Stati Uniti continuano a insistere sul fatto che le persone non statunitensi non hanno diritti costituzionali negli Stati Uniti - quindi una violazione del loro diritto alla privacy non è coperta dal 4° Emendamento.
- IlFISA 702 dovrà essere prorogato entro la fine del 2023, dato che la legge statunitense prevede una "clausola di decadenza". Questa sarebbe stata l'occasione perfetta per migliorare la legge statunitense, ma dato il nuovo accordo con l'UE, gli Stati Uniti avranno pochi motivi per riformare la FISA 702.
Nel complesso, il nuovo "Trans-Atlantic Data Privacy Framework" è una copia del Privacy Shield (del 2016), che a sua volta era una copia del "Safe Harbor" (del 2000). Dato che questo approccio è già fallito due volte in passato, non c'era alcuna base legale per il cambio di rotta: l'unica logica di avere un accordo era quella politica.
Max Schrems, presidente della noyb:"Si dice che la definizione di follia sia fare la stessa cosa più volte e aspettarsi un risultato diverso. Proprio come il 'Privacy Shield', l'ultimo accordo non si basa su cambiamenti materiali, ma su interessi politici. Ancora una volta l'attuale Commissione sembra pensare che il pasticcio sarà un problema della prossima Commissione. Il FISA 702 deve essere prorogato dagli Stati Uniti quest'anno, ma con l'annuncio del nuovo accordo l'UE ha perso ogni potere per ottenere una riforma del FISA 702"
Mi freghi tre volte? Già all'indomani delle rivelazioni di Snowden , nel 2013, la Commissione europea aveva annunciato che avrebbe "ricostruito" la fiducia e"reso Safe Harbor più sicuro", proponendo un"accordo ombrello". Nel 2016 è stato detto ai giornalisti che il "Privacy Shield" avrebbe significato che "per la prima volta gli Stati Uniti hanno dato all'UE una garanzia scritta", che ci sarebbero state "chiare limitazioni, salvaguardie e meccanismi di supervisione" e persino "nessuna sorveglianza indiscriminata di massa". Nessuna di queste affermazioni e sistemi si è dimostrata stabile quando è stata sottoposta alla CGUE. Nell'attuale versione degli sforzi di pubbliche relazioni della Commissione, vengono avanzate le stesse affermazioni (sempre ripetute).
Max Schrems:"Abbiamo avuto "porti", "ombrelli", "scudi" e "quadri", ma nessun cambiamento sostanziale nella legge sulla sorveglianza degli Stati Uniti. Le dichiarazioni alla stampa di oggi sono quasi una copia letterale di quelle degli ultimi 23 anni. Il solo fatto di annunciare che qualcosa è "nuovo", "robusto" o "efficace" non basta davanti alla Corte di giustizia. Avremmo bisogno di modifiche alla legge sulla sorveglianza degli Stati Uniti per far funzionare la cosa - e semplicemente non le abbiamo"
Il ricorso alla CGUE è pronto per essere presentato. Chiunque abbia i propri dati personali trasferiti in base al nuovo accordo può presentare un ricorso alle autorità di protezione dei dati o ai tribunali. noyb ha preparato diverse opzioni procedurali per riportare il nuovo accordo davanti alla CGUE. Ci aspettiamo che il nuovo sistema venga implementato dalle prime aziende nei prossimi mesi, il che aprirà la strada a un ricorso da parte di una persona i cui dati vengono trasferiti in base al nuovo strumento. Non è improbabile che una contestazione possa arrivare alla CGUE entro la fine del 2023 o l'inizio del 2024. La CGUE avrebbe anche la possibilità di sospendere il "Quadro" per il tempo della procedura. Una decisione finale della CGUE sarebbe probabile entro il 2024 o il 2025. Indipendentemente dal successo di tale ricorso, questo porterà chiarezza sul "Quadro transatlantico sulla privacy dei dati" entro circa due anni.
Max Schrems: "Abbiamo già nel cassetto diverse opzioni di ricorso, anche se siamo stanchi di questo ping-pong legale. Al momento ci aspettiamo che la questione torni alla Corte di giustizia entro l'inizio del prossimo anno. La Corte di giustizia potrebbe anche sospendere il nuovo accordo mentre ne esamina la sostanza. Ai fini della certezza del diritto e dello Stato di diritto, potremo così sapere se i piccoli miglioramenti apportati dalla Commissione erano sufficienti o meno. Negli ultimi 23 anni tutti gli accordi tra Unione Europea e Stati Uniti sono stati dichiarati non validi retroattivamente, rendendo illegali tutti i trasferimenti di dati effettuati in passato dalle imprese - ora sembra che si aggiungano altri due anni di questo ping-pong"
La Commissione europea mostra scarsa attenzione per lo stato di diritto e la privacy dei cittadini. Questo terzo tentativo di far passare in gran parte la stessa decisione illegale solleva anche interrogativi sul ruolo più ampio della Commissione europea come custode dei trattati dell'UE. Invece di sostenere lo "Stato di diritto", la Commissione si limita ad approvare più volte una decisione non valida, nonostante le chiare sentenze della CGUE. Nonostante la grande indignazione suscitata dalle rivelazioni di Snowden nell'UE e i ripetuti inviti del Parlamento europeo ad agire, la Commissione sembra dare la priorità alle relazioni diplomatiche con gli Stati Uniti e alle pressioni commerciali su entrambe le sponde dell'Atlantico rispetto ai diritti dei cittadini europei e ai requisiti del diritto dell'UE.
Max Schrems:"La Commissione è destinata a essere il 'guardiano dei trattati' e il difensore dello 'Stato di diritto'. Ama questo ruolo quando si tratta di Stati membri che violano il diritto dell'UE. Ora la Commissione stessa ignora semplicemente la Corte di giustizia per la terza volta"