Dopo le rivelazioni di Snowden, sappiamo che gli Stati Uniti sono impegnati nella sorveglianza di massa degli utenti dell'UE, raccogliendo dati personali dalle Big Tech statunitensi. Il "Privacy and Civil Liberties Oversight Board" (PCLOB) è la principale autorità di controllo statunitense per queste leggi. I media statunitensi riportano orache i membri democratici del PCLOB sono stati rimossi e i loro account di posta elettronica sono stati chiusi. Questo porta il numero di membri nominati al di sotto della soglia necessaria per il funzionamento del PCLOB. Il fatto che il Presidente degli Stati Uniti abbia semplicemente rimosso delle persone da un'autorità (presumibilmente) indipendente, mette in dubbio l'indipendenza di tutti gli altri organi di ricorso esecutivo negli Stati Uniti.
L'Unione europea si è basata su queste commissioni e tribunali statunitensi per ritenere che gli Stati Uniti offrano una protezione "adeguata" dei dati personali. Basandosi sul PCLOB e su altri meccanismi, la Commissione europea permette ai dati personali europei di fluire liberamente verso gli Stati Uniti nel cosiddetto "Quadro transatlantico sulla privacy dei dati" (TADPF). Il PCLOB è l'unico elemento di "supervisione" rilevante dell'accordo. Gli altri elementi fungono solo da organi di ricorso. Migliaia di aziende, agenzie governative o scuole dell'UE fanno affidamento su queste disposizioni. Senza il TADPF, dovrebbero smettere immediatamente di utilizzare i fornitori di cloud statunitensi come Apple, Google, Microsoft o Amazon.
- Informazioni sulla saga del trasferimento di dati tra UE e USA
- PDF informativo sul programma TADPF dell'UE
- Pagina del programma TADPF del governo statunitense
- Decisione TADPF (UE) 2023/1795
- CGUE: Schrems I e Schrems II
- Relazione sulla rimozione dei membri del PCLOB
Il sistema di trasferimento dei dati UE-USA - un mix di leggi UE e USA. In generale, dal 1995 la legislazione dell'UE vieta l'esportazione di dati personali verso Paesi al di fuori dell'UE, a meno che non vi sia un'assoluta necessità (ad esempio, l'invio di un'e-mail a un Paese extra-UE). I dati possono essere inviati all'estero se il Paese extra-UE fornisce una protezione "sostanzialmente equivalente" ai dati personali degli europei. Gli Stati Uniti, invece, dispongono di leggi molto severe sulla sorveglianza di massa (ad esempio la FISA702 o l'EO 12.333), che consentono al governo statunitense di accedere a qualsiasi dato archiviato presso Amazon, Meta, Microsoft, Google e qualsiasi altra azienda statunitense di Big Tech senza un motivo probabile o un'approvazione giudiziaria individuale. Pertanto, la Corte di giustizia europea ha stabilito per due volte(Schrems I e Schrems II) che la legge statunitense non è "sostanzialmente equivalente". Tuttavia, Ursula von der Leyen ha insistito per far passare un terzo accordo UE-USA, chiamato "Quadro transatlantico sulla privacy dei dati" (TADPF).
Il TADPF è stato costruito sulla sabbia. Il 10.7.2023 la Commissione europea ha emanato la Decisione di esecuzione (UE) 2023/1795, approvando formalmente il TADPF. Ciò ha permesso a qualsiasi azienda dell'UE di trasferire liberamente i dati ai fornitori statunitensi, nonostante le leggi sulla sorveglianza degli Stati Uniti. La Commissione europea si è basata su ordini esecutivi o lettere del governo statunitense (molto discutibili), tra cui il PCLOB, per stabilire che gli Stati Uniti sono "sostanzialmente equivalenti". Tuttavia, questi elementi non si riflettono negli statuti e nel diritto codificato degli Stati Uniti, perché non c'era una maggioranza nel Congresso degli Stati Uniti per approvare tali leggi. Si è a lungo criticato il fatto che il prossimo presidente degli Stati Uniti potrebbe eliminare queste protezioni con un colpo di penna. Questo scenario è ora all'orizzonte. Nella sua decisione, la Commissione europea ha citato il PCLOB ben 31 volte per spiegare perché gli Stati Uniti hanno protezioni "sostanzialmente equivalenti". Il PCLOB è l'unico organismo di "supervisione" generale che controlla se i servizi statunitensi rispettano effettivamente le leggi, gli ordini e altre promesse. Altri elementi della legge statunitense, come vari meccanismi di ricorso, richiedono che un querelante si attivi. Gli Stati Uniti hanno tradizionalmente bloccato l'accesso a questi organi attraverso varie regole di "standing", che hanno portato a non ammettere praticamente nessuna causa. Ciò significa che il PCLOB è l'unico meccanismo di controllo rilevante su cui la TADPF ha fatto affidamento.
Max Schrems:"Questo accordo è sempre stato costruito sulla sabbia, ma la lobby imprenditoriale dell'UE e la Commissione europea lo hanno voluto comunque. Invece di limiti legali stabili, l'UE ha accettato promesse esecutive che possono essere annullate in pochi secondi. Ora che le prime ondate di Trump si sono abbattute sull'accordo, questo getta rapidamente molte imprese dell'UE in un limbo legale. Il PCLOB in sé è solo un pezzo del puzzle e, finché non funziona solo temporaneamente, si può sostenere che l'accordo non sia peggiore di prima. Tuttavia, la direzione che sta prendendo questo accordo nella prima settimana della presidenza Trump non promette nulla di buono. Stiamo monitorando da vicino se si tratta di un problema temporaneo o se il PCLOB verrà ucciso per sempre"
L'indipendenza degli organi esecutivi è messa in discussione. A differenza delle autorità di protezione dei dati nell'UE, la maggior parte degli organi di controllo statunitensi sono creature del ramo esecutivo e quindi non indipendenti. L'indipendenza è spesso concessa solo dal Presidente, ma può essere revocata o annullata in qualsiasi momento. Molti di questi strani concetti legali sono il risultato dell'incapacità strutturale di approvare leggi vere e proprie negli Stati Uniti. Invece, intere aree legali sono semplicemente regolate da ordini presidenziali. Il fatto che il Presidente degli Stati Uniti stia ora tentando di rimuovere semplicemente delle persone, mette in dubbio che l'idea di organi esecutivi (presumibilmente) "indipendenti" fosse anche solo di fatto discutibile fin dall'inizio. Molti altri elementi della TADPF, come il Tribunale per la revisione della protezione dei dati, hanno protezioni legali ancora più deboli del PCLOB.
Max Schrems:"Ci sono state molte domande sull'indipendenza di questi meccanismi di supervisione. Purtroppo, sembra che potrebbero non superare la prova dei primi giorni di presidenza Trump. Questa è la differenza tra una solida protezione legale e un'idea velleitaria. La Commissione europea si è affidata esclusivamente a quest'ultima"
45 giorni per il prossimo punto critico. In uno dei primi ordini esecutivi firmati lunedì, Trump ha stabilito che tutte le decisioni di Biden in materia di sicurezza nazionale (comprese le decisioni pertinenti su cui si basano i trasferimenti UE-USA) dovranno essere riviste e potenzialmente eliminate entro 45 giorni. Ciò significa che altri elementi su cui si basava il TADPF potrebbero crollare nel giro di pochi giorni. Dato che l'intero accordo si basa su decisioni esecutive di Biden, Trump potrebbe cancellare tutti gli elementi chiave dell'accordo con una sola firma , portando a trasferimenti di dati immediatamente illegali tra l'UE e gli USA.
Max Schrems:"È difficile immaginare che un ordine esecutivo di Biden, imposto agli Stati Uniti dall'UE e che regolamenta lo spionaggio statunitense all'estero, possa sopravvivere alla logica "America First" di Trump. Il problema è che non solo le Big Tech statunitensi, ma soprattutto le normali aziende dell'UE fanno affidamento su questo sistema di ordini esecutivi instabili per sostenere che l'utilizzo di sistemi cloud statunitensi è legale nell'UE"
La Commissione ha manovrato le imprese dell'UE verso un precipizio. Nonostante tutti i fatti e le critiche del Parlamento europeo e delle autorità di protezione dei dati dell'UE, la Commissione europea ha sempre sostenuto che il TADPF è solido e solido. La lobby imprenditoriale dell'UE ha spinto per un accordo , non importa quanto instabile o stravagante. Allo stesso modo, le Big Tech statunitensi volevano rimanere sul mercato dell'UE senza alcuna limitazione tecnica in relazione all'accesso del governo statunitense. Ora, tutti, dalle grandi banche agli interi sistemi scolastici nazionali, fino a molte piccole imprese, potrebbero trovarsi in una situazione legale in cui l'uso di prodotti cloud statunitensi sarà presto illegale.
Trasferimenti di dati UE-USA per ora legali - ma preparatevi. Una decisione dell'amministrazione statunitense non renderà immediatamente illegali i trasferimenti dagli Stati Uniti. La decisione della Commissione europea è generalmente legale finché rimane in vigore e non viene annullata dalla Commissione stessa o dalla Corte di giustizia. Quindi, anche se le conclusioni materiali diventano errate, la decisione è ancora formalmente valida fino a quando non viene annullata. Tuttavia, se gli elementi chiave su cui l'UE ha fatto affidamento non funzionano, l'UE dovrà annullare l'accordo.
Max Schrems: "Anche se le argomentazioni a favore dell'accordo UE-USA sembrano crollare, le aziende possono fare affidamento sull'accordo finché non viene formalmente annullato. Tuttavia, visti gli sviluppi negli Stati Uniti, è più che mai cruciale per le imprese e le altre organizzazioni avere un piano di emergenza 'host in Europe'"
La Commissione europea in difficoltà. La Commissione europea si è messa in una posizione difficile non solo dal punto di vista della credibilità, ma anche da quello diplomatico. Se ora reagisce rapidamente e annulla il TADPF, l'oligarchia tecnologica statunitense griderà che l'UE starebbe "fregando"le Big Tech statunitensi. L'amministrazione Trump potrebbe prendere questo fatto come un motivo per iniziare un primo grande scontro con l'UE. Tuttavia, non intervenire e non avvertire ufficialmente le imprese, gli enti pubblici e le altre organizzazioni dell'UE che inviano dati agli Stati Uniti sembra altrettanto problematico. Il futuro del TADPF potrebbe essere molto breve.
Versione UE del dibattito statunitense su TikTok? Mentre gli Stati Uniti hanno a lungo sminuito i timori europei circa il flusso di dati personali verso gli Stati Uniti e il loro utilizzo per la sorveglianza di massa, gli Stati Uniti hanno improvvisamente invertito la rotta dopo che i propri dati sono stati aggregati da TikTok. Da un lato, un divieto o un'acquisizione obbligatoria delle Big Tech statunitensi in Europa sarebbe giuridicamente impossibile. Le aziende statunitensi sarebbero protette dall'approvazione da parte dell'UE di un provvedimento equivalente a un "divieto di TikTok". Allo stesso tempo, l'obbligo di tenere i dati dell'UE al di fuori delle mani del governo statunitense è la norma di legge dell'UE dal 1995. E lo sarà anche quando la Commissione europea annullerà l'accordo UE-USA. Le Big Tech statunitensi dovrebbero quindi proteggere i loro centri dati dell'UE dall'accesso delle loro società madri statunitensi.
