Lettera aperta sul futuro dei trasferimenti di dati tra UE e USA

Maγ 23, 2022

Lettera aperta sul futuro dei trasferimenti di dati tra UE e USA

Sebbene molti dettagli non siano ancora chiari, sono emersi sempre più particolari sul previsto accordo UE-USA per il trasferimento dei dati. Questi dettagli sembrano sollevare ulteriori dubbi sulla stabilità di un eventuale nuovo accordo di adeguatezza da parte della Commissione europea. Alla luce di questi sviluppi preoccupanti, il ricorrente principale nelle cause "Schrems I" e "Schrems II" ha inviato la seguente lettera aperta (PDF) alle parti interessate:


Caro Commissario Didier Reynders,

Caro Segretario Gina Raimondo,

Cara Pauline Dubarry,

Cara presidente dell'EDPB Andrea Jelinek,

Caro presidente della LIBE Juan Fernando López Aguilar,

Prendiamo atto dell'annuncio di un accordo di principio per un nuovo quadro transatlantico sulla privacy dei dati. Ci risulta che il futuro accordo "concordato in linea di principio" si basi principalmente su un accordo politico tra la Presidente della Commissione von der Leyen e il Presidente degli Stati Uniti Joe Biden, ma non sia il risultato di modifiche sostanziali alla legge statunitense in risposta alla sentenza della CGUE. Questo approccio sembra ripetere l'accordo "Privacy Shield" ed è molto preoccupante.

Siamo consapevoli che l'annuncio delinea solo idee e titoli di massima, ma che il testo finale deve ancora essere negoziato. Le seguenti osservazioni preliminari si basano quindi sul limitato annuncio politico e su ulteriori dettagli condivisi informalmente con le parti interessate in varie forme pubbliche o semi-pubbliche dall'UE e dagli USA.

Sulla base di queste dichiarazioni, ci sembra di capire che gli Stati Uniti abbiano rifiutato qualsiasi protezione materiale per le persone non statunitensi e che continuino a discriminare le persone non statunitensi rifiutando le protezioni di base, come l'approvazione giudiziaria delle misure di sorveglianza individuali

Ci risulta che l'accordo previsto si baserà in gran parte su ordini esecutivi statunitensi. Avendo lavorato sulla questione con esperti di sorveglianza e avvocati statunitensi, tali ordini esecutivi sembrano essere strutturalmente insufficienti a soddisfare i requisiti della CGUE.

Sulla base dei capisaldi noti, avvertiamo i negoziatori di entrambe le sponde dell'Atlantico, il Consiglio dell'UE, l'EDPB e la commissione LIBE del Parlamento europeo che il quadro annunciato rischia di condividere lo stesso destino dei suoi due predecessori di fronte alla CGUE, a meno che non vengano condotte riforme sostanziali (legislative) negli Stati Uniti

Invitiamo i negoziatori a continuare a lavorare per una soluzione di lunga durata, che preservi la privacy dei flussi transatlantici, per evitare una decisione "Schrems III". L'approccio attuale può causare ulteriore incertezza giuridica per i cittadini e le imprese per gli anni a venire - un timore che è stato espresso anche dai rappresentanti del settore in reazione all'"accordo di principio".

Siamo pienamente consapevoli del fatto che si tratta di un compito tutt'altro che facile, ma l'investimento per raggiungere l 'obiettivo non solo garantirebbe la soluzione della questione nel lungo periodo, ma porterebbe anche benefici ai cittadini e all'economia di entrambe le parti.

Per raggiungere questo obiettivo, presentiamo le seguenti osservazioni e raccomandazioni più dettagliate:

(1) Applicare un corretto test di proporzionalità alla legge sulla sorveglianza degli Stati Uniti ai sensi dell'articolo 8 CFR

Ci risulta che i negoziatori statunitensi non intendano cercare di modificare il diritto statutario degli Stati Uniti in relazione alla sorveglianza materiale, ma intendano essenzialmente sostituire la Direttiva politica presidenziale 28 (PPD-28) sulle attività di intelligence sui segnali con un nuovo ordine esecutivo che includa le parole "necessario e proporzionato"

Sembra che la Commissione europea intenda ritenere che queste parole in un ordine esecutivo statunitense debbano essere considerate equivalenti al test di proporzionalità dell'Unione europea di cui all'articolo 52 della Carta dei diritti fondamentalier dei diritti fondamentali (QCR)

Tuttavia, è difficile capire come la sorveglianza esistente negli Stati Uniti possa essere "necessaria e proporzionata" ai sensi del diritto europeo se la CGUE ha esplicitamente stabilito il contrario in due sentenze

Questo approccio sembra essere insufficiente almeno per le seguenti ragioni:

  • In entrambe le sentenze della CGUE ("Schrems I" e "Schrems II"), la Corte ha chiaramente affermato che le leggi e le pratiche di sorveglianza degli Stati Uniti violano gli articoli 7, 8 e 47 della Carta dei diritti fondamentali. La CGUE ha persino ritenuto esplicitamente che tali leggi e pratiche non siano "necessarie e proporzionate"
  • La sentenza "Schrems II" è stata emessa tenendo conto della PPD28 (la direttiva esecutiva pertinente all'epoca). Come hanno sostenuto la Commissione europea e il governo degli Stati Uniti davanti alla CGUE, la PPD-28 include già la formulazione "il più possibile personalizzato", che la Commissione ha interpretato come equivalente alla proporzionalità ai sensi dell'articolo 52 CFR. La CGUE ha respinto questa idea. Non riusciamo a capire come leggi e pratiche che la CGUE ha esplicitamente ritenuto non "necessarie e proporzionate" possano improvvisamente convincere la CGUE se vengono rietichettate come "necessarie e proporzionate" invece che come "adeguate almeglio".
  • Ci risulta che, pur adottando queste parole, gli Stati Uniti non abbiano accettato di limitare in modo sostanzialela sorveglianza di soggetti non statunitensi. In particolare, gli Stati Uniti non hanno annunciato alcuna intenzione di limitare o rivedere le pratiche di sorveglianza condotte nell'ambito delle leggi e dei programmi (FISA 702, EO 12.333, "PRISM" e "Upstream") specificamente menzionati dalla CGUE nella sua sentenza. Gli Stati Uniti, inoltre, non hanno indicato l'intenzione di apportare modifiche per porre fine alle pratiche di sorveglianza di massa . I programmi di sorveglianza sembrano continuare così come sono. La CGUE ha condotto un test di proporzionalità ai sensi dell'articolo 52 del QCR e ha concluso che le pratiche di sorveglianza statunitensi non hanno superato tale test. Se gli Stati Uniti dovessero integrare il concetto di"necessità e proporzionalità", ciò significherebbe interrompere o limitare fortemente queste pratiche di sorveglianza. I negoziatori sono chiari nel dire che non è questo il loro intento.
  • I negoziatori sembrano quindi limitarsi a copiare le parole della CFR e della giurisprudenza della CGUE in un ordine esecutivo degli Stati Uniti, ma probabilmente applicheranno un significato diverso da quello della CGUE, in quanto ciò dovrebbe altrimenti comportare l'interruzione dei programmi Upstream e Downstream (in precedenza "PRISM") ai sensi della Sezione 702 del Foreign Intelligence Surveillance Act (FISA) e la fine della sorveglianza di massa ai sensi dell'Ordine esecutivo 12.333.
  • Siamo inoltre preoccupati per il fatto che gli ordini esecutivi di solito non conferiscono diritti a terzi. Sembra che, anche se in un ordine esecutivo venisse applicato un criterio di "necessità e proporzionalità" in linea con l'articolo 52 CFR, qualsiasi soggetto interessato potrebbe non essere in grado di far valere tali limitazioni in tribunale.

In sintesi, questo approccio sembra semplicemente soddisfare le esigenze politiche, diplomatiche e di pubbliche relazioni di entrambe le parti, ma sembra ignorare il fatto che la CGUE ha già stabilito che la sorveglianza statunitense non è "necessaria e proporzionata" e che gli Stati Uniti continueranno a seguire queste pratiche.

(2) Creare un ricorso giudiziario significativo ai sensi dell'articolo 47 CFR

Ci risulta che i negoziatori statunitensi non intendano modificare la legge statunitense per creare vie di ricorso giudiziario per gli interessati dell'UE

L'esecutivo statunitense dovrebbe invece formare un nuovo "organo" all'interno del ramo esecutivo (simile al precedente "Ombudsperson", ma sotto l'autorità dell'Avvocato generale) che si occuperà delle potenziali violazioni della legge e degli ordini esecutivi statunitensi. Questo organo, chiamato "Corte di revisione della protezione dei dati", contrariamente al nome, non sarà una "Corte" ma un organo esecutivo. Farà parte del ramo esecutivo, con un'indipendenza limitata

Ci risulta che gli interessati dell'UE non potranno accedere alle informazioni sulle potenziali operazioni di sorveglianza che li riguardano durante il procedimento e non potranno appellarsi alle decisioni di questa "Corte" presso un organo giudiziario pienamente indipendente, istituito ai sensi dell'articolo 3 della Costituzione statunitense

Questo approccio sembra violare la giurisprudenza della CGUE almeno nei seguenti aspetti:

  • La soluzione proposta non prevede un ricorso giudiziario , ma un organodi ricorso all'interno del ramo esecutivo - simile all'Ombudsperson, che la CGUE ha ritenuto non solo sproporzionato, ma anche una violazione dell'essenza dell'articolo 47 CFR. Il solo fatto di nominare un organo esecutivo "Corte" non crea un ricorso giudiziario. L'approccio sembra essere meglio descritto come un "Ombudsperson Plus".
  • È difficile capire come questo nuovo organismo possa soddisfare i requisiti formali di una corte o di un tribunale ai sensi dell'articolo 47 del QCR, soprattutto se confrontato con i casi in corso e gli standard applicati all'interno dell'UE (ad esempio in Polonia e Ungheria). Alla CGUE verrebbe chiesto di applicare uno standard "elevato" dell'articolo 47 CFR all'interno dell'UE, ma uno standard "basso" dell'articolo 47 CFR per un "tribunale di revisione della protezione dei dati" statunitense. Sarebbe la Commissione europea a dover convincere la CGUE di questi diversi standard ai sensi dell'articolo 47 CFR.
  • Ci risulta che questanuovo "Tribunale" continuerà a operare come l'attuale "Ombudsperson" e non confermerà né smentirà se una persona è stata sottoposta a sorveglianza e se c'è stata una violazione della legge statunitense. A quanto ci risulta, la persona interessata non avrà alcuna possibilità, diretta o indiretta, di vedere le prove, di chiedere informazioni, di interrogare l'avversario o di ricevere una sentenza motivata . Questo renderà l'istituzione un "timbro di gomma", senza alcuna rilevanza pratica.
  • Questo approccio "di gomma" limiterà anche le opzioni per qualsiasi ricorso potenzialmente previsto a qualsiasi organo secondario: Se il "Tribunale per il riesame della protezione dei dati" è tenuto a inviare una risposta standard prescritta, non vediamo come ci sia spazio per un ricorso materiale informato e significativo. Se c'è solo un possibile esito predefinito in ogni caso, sembra che non ci sia quasi nessun caso in cui un cittadino possa sollevare un errore, poiché sembra esserci solo una risposta possibile.
  • Ci sono domande fondamentali se le dottrine statunitensi come il "segreto di Stato" si applicheranno a questi organismi segretidi Stato " si applicheranno a questi organismi, limitando ulteriormente la possibilità di un'audizione equa. Ci risulta che il governo statunitense continuerà a fare affidamento su queste dottrine.

In sintesi, non riusciamo a capire come questa nuova "Corte" sarebbe conforme all'articolo 47 del QCR, soprattutto alla luce della recente giurisprudenza della CGUE sulla sorveglianza statunitense, ma anche alla luce della giurisprudenza della CGUE sui ricorsi giudiziari e sullo Stato di diritto negli Stati membri dell'UE. Sembra che la CGUE debba sviluppare un test dell'articolo 47 CFR separato per gli Stati Uniti, per stabilire che un organo esecutivo che produce risposte "a timbro" sia effettivamente una forma di ricorso giudiziario. Non riusciamo a capire come una simile evoluzione della giurisprudenza della CGUE sia lontanamente realistica o addirittura auspicabile.

(3) La necessità di aggiornare le protezioni della privacy commerciale

Oltre alle carenze dell'accordo di principio annunciato, legate alla mancanza di riforme sulla sorveglianza negli Stati Uniti e le leggi statunitensimettiamo in guardia i negoziatori dell'UE sulla necessità di aggiornare gli obblighi di protezione dei dati commerciali nell'ambito di qualsiasi accordo futuro.

Siamo preoccupati per il fatto che i negoziatori dell'UE e degli USA non sembrano prevedere alcun aggiornamento dei principi dello scudo per la privacy. Ci risulta che i principi e le certificazioni dello scudo per la privacy non saranno toccati e nemmeno rinominati. Ciò è estremamente problematico, in quanto i principi si basano in gran parte sui principi del "Safe Harbor" del 2000, con solo lievi aggiornamenti nel 2016. Non sono in linea con i requisiti del GDPR, che è diventato applicabile nel 2018. In effetti, i principi del Privacy Shield fanno addirittura riferimento alla direttiva 95/46/CE, non più in vigore da tempo, e non al GDPR

Qui di seguito riportiamo alcuni esempi di alcune delle numerose carenze dei Principi dello Scudo per la privacy e dei punti in cui si discostano dal GDPR:

  • I principi dello scudo per la privacy non prevedono un requisito generale di base giuridica, come invece previsto dall'articolo 6, paragrafo 1, del GDPR e dall'articolo 8, paragrafo 2, della Carta dei diritti fondamentalidei diritti fondamentali. Di fatto, esiste solo un approccio cosiddetto "notice & choice" con un diritto di rifiuto (opt-out). Soprattutto perché i principi si applicano di solito ai subprocessori, che non hanno contatti diretti con l'interessato, non sembra esistere uno scenario realistico in cui l'interessato possa essere avvisato di un trattamento problematico.
  • I principi del Privacy Shield non richiedono che il trattamento dei dati sia "necessario", come richiesto dall'articolo 5(1)(c) del GDPR e dall'articolo 52(1) del CFR, ma solo "pertinente".
  • La maggior parte degli elementi del diritto di accesso ai sensi dell'articolo 15 del GDPR e dell'articolo 8, paragrafo 2, della Carta dei diritti fondamentali non si riflette dei diritti fondamentali non si riflettono nei principi del Privacy Shield.
  • Il meccanismo di ricorso previstoil meccanismo di ricorso previsto dai principi si basa sull'arbitrato privato, un sistema vietato ai consumatori nell'UE dalla direttiva 93/13/CEE. I servizi di arbitrato privato sono pagati dalla società statunitense e non dispongono dei necessari meccanismi di "supervisione e rilevamento" o di poteri che assomiglino anche lontanamente a quelli delle autorità di vigilanza dell'UE ai sensi dell'articolo 58 del GDPR. Le fasi per l'esecuzione di un lodo arbitrale ai sensi della legge statunitense sono molteplici.

Esistono innumerevoli altri esempi in cui i principi dello scudo per la privacy non sono "sostanzialmente equivalenti" al GDPR e quindi consentono ai concorrenti statunitensi di operare sul mercato europeo senza rispettare la legislazione dell'UE. Anche se la questione della sorveglianza statunitense fosse risolta, qualsiasi nuovo accordo potrebbe essere invalidato dalla CGUE sulla base del fatto che i principi del Privacy Shield non sono affatto "sostanzialmente equivalenti" al GDPR.


Il futuro dei trasferimenti internazionali di dati

Ci dispiace constatare che i negoziatori non abbiano sfruttato questa opportunità per garantire che i diritti umani alla privacy e alla protezione dei dati siano tutelati su entrambe le sponde dell'Atlantico, indipendentemente dalla posizione geografica o dalla cittadinanza. Siamo profondamente convinti che un Internet globale e la libera circolazione dei dati personali siano possibili solo se le tutele non si basano su concetti storici e nazionalistici, come la cittadinanza. Mentre il GDPR e gli articoli 7, 8 e 47 CFR sono diritti umani e si applicano a qualsiasi utente, indipendentemente dai legami nazionali, il FISA 702 e i relativi ordini esecutivi negli Stati Uniti continuano a seguire un'idea arcaica di "persone statunitensi" e "persone non statunitensi".

Questo non solo causa violazioni dei diritti umani, ma sembra anche minare i presunti obiettivi di queste leggi sulla sorveglianza: Sappiamo che la maggior parte dei pericoli attuali (come il terrorismo interno, lo spionaggio e simili) non si basano sulla cittadinanza dell'obiettivo.

Invitiamo i negoziatori e le altre parti interessate, tra cui l'industria tecnologica statunitense, a mettere in discussione i tradizionali concetti nazionalistici. Se Internet non deve conoscere confini nazionali, i nostri diritti alla privacy e le nostre leggi sulla sorveglianza devono superare i concetti nazionalistici. Un'opzione potrebbe essere rappresentata da accordi internazionali tra nazioni democratiche.

Il capitolo 5 del GDPR consente già la libera circolazione dei dati, se le protezioni sono "sostanzialmente equivalenti". Ci rammarichiamo del fatto che le leggi nazionali sulla sorveglianza negli Stati Uniti e nell'Unione europea si aggrappino ancora a concetti come la cittadinanza e manchino finora di moderne clausole di interoperabilità.

Questo conflitto tra tutele della privacy (interoperabili) e leggi di sorveglianza (nazionalistiche) ostacola i flussi di dati internazionali, il commercio e la convergenza.

Reazione a qualsiasi nuova decisione di adeguatezza

Poiché il nostro contenzioso mira sempre a garantire una soluzione duratura che protegga i dati degli utenti e consenta al contempo la libera circolazione dei dati, saremmo i primi a plaudire a qualsiasi risultato in tal senso. Speriamo ancora che il testo finale possa superare le carenze evidenziate in questa lettera e incoraggiamo i negoziatori di entrambe le sponde dell'Atlantico a portare avanti le necessarie riforme della legge statunitense.

In assenza di tali modifiche legislative, temiamo che qualsiasi accordo futuro si basi (ancora una volta) su speranze politiche anziché su realtà giuridiche. Siamo particolarmente preoccupati che la Commissione europea possa consapevolmente adottare un'altra decisione di adeguatezza illegale con l'obiettivo di minare le sentenze della CGUE. Questo viene spesso definito come "comprare un altro paio di anni". Questo potrebbe non solo portare a un ping-pong infinito tra Bruxelles e Lussemburgo, ma anche minacciare la fiducia nello Stato di diritto e nel QCR a livello europeo.

Alla luce di quanto sopra, la noyb è pronta a impugnare qualsiasi decisione finale di adeguatezza che non riesca a fornire la necessaria certezza giuridica. Nel caso in cui tale contenzioso sia effettivamente necessario, ci concentreremo in particolare su un percorso rapido ed efficiente verso la CGUE per raggiungere una decisione rapida. Speriamo che questo garantisca un periodo più breve di incertezza giuridica nel caso di un accordo politico mal concepito

Tale sfida potrebbe includere la richiesta alla CGUE di sospendere l'applicazione di qualsiasi terza versione di una decisione di adeguatezza degli Stati Uniti. Tale opzione è prevista dall'articolo 278 del TFUE e potrebbe garantire che la Commissione europea non indebolisca la CGUE adottando ulteriori decisioni di adeguatezza illegittime nel tentativo di superare l'esame della CGUE stessa.

Ci auguriamo che queste osservazioni preliminari vi siano utili. Siamo a vostra disposizione nel caso in cui abbiate domande o vogliate fornirci ulteriori chiarimenti sul nuovo accordo previsto.

Cordiali saluti,

Max Schrems

Presidente onorario della noyb

Cordiali saluti,

Max Schrems

Presidente onorario, noyb