Lunedì, la Corte Suprema degli Stati Uniti ha stabilito, nella causa Trump contro Slaughter, che la Commissione Federale per il Commercio degli Stati Uniti (“FTC”) potrebbe non essere più indipendente. Dal 2000 l’UE si è affidata alla “indipendente” FTC come garante dell’applicazione degli accordi UE-USA in materia di dati personali. Secondo il diritto dei trattati dell’UE, tale supervisione deve essere indipendente. Nell’attuale accordo UE-USA, la Commissione europea fa riferimento alla FTC indipendente ben 259 (!) volte. Max Schrems: «Dato che negli Stati Uniti non esistono più autorità indipendenti, chiediamo alla Commissione europea di revocare in modo ordinato la decisione di adeguatezza relativa agli Stati Uniti.»
- Decisione di esecuzione (UE) 2023/1795 della Commissione relativa al quadro normativo UE-USA in materia di protezione dei dati (EUR-Lex)
- Sentenza della Corte Suprema degli Stati Uniti nella causa Trump contro Slaughter
- noyb Lettera alla Commissione europea
Il quadro normativo UE-USA in materia di protezione dei dati. Dal 1995 l’UE vieta in linea di massima l’esportazione di dati personali verso paesi terzi, per garantire che le norme UE in materia di privacy non possano essere eluse semplicemente inviando i dati all’estero. Sebbene esistano eccezioni per i trasferimenti necessari, che vanno dalla semplice prenotazione di un hotel a transazioni complesse, molte aziende dell’UE hanno semplicemente esternalizzato il trattamento dei dati personali a fornitori di servizi cloud statunitensi. Dal 2000 la Commissione europea ha ripetutamente riconosciuto gli Stati Uniti come paese “adeguato” in materia di protezione dei dati personali, consentendo così la libera circolazione dei dati tra l’UE e gli Stati Uniti. La Corte di giustizia dell’Unione europea (CGUE) ha annullato le due precedenti decisioni della Commissione nel cosiddetto «Schrems I» (che ha posto fine al «Safe Harbour») e “Schrems II” (che ha posto fine al “Privacy Shield”), a causa delle leggi statunitensi sulla sorveglianza e della mancanza di rimedi giurisdizionali negli Stati Uniti. Ciononostante, nel 2023 la Commissione europea ha emanato un terzo accordo UE-USA denominato “Quadro UE-USA sulla protezione dei dati”, che era in gran parte un copia-incolla degli accordi precedentemente annullati.
Requisito dell’UE relativo a un’autorità indipendente per la protezione dei dati.Il diritto dei trattatidell’UE(ovvero il quadro «costituzionale» dell’UE), in particolare l’ articolo 16, paragrafo 2, del TFUE e articolo 8, paragrafo 3, della Carta dei diritti fondamentali, richiedono che la vigilanza sulle questioni relative alla protezione dei dati sia esercitata da un’autorità “indipendente”. Poiché i paesi terzi devono disporre di garanzie “sostanzialmente equivalenti”, è necessario che qualsiasi paese terzo che intenda beneficiare della libera circolazione dei dati personali dall’UE offra a sua volta tali garanzie. Finora, gli Stati Uniti hanno designato la FTC come autorità “indipendente” di regolamentazione della privacy per soddisfare l’esigenza dell’UE di una supervisione indipendente. L’UE, a sua volta, si è affidata alla FTC ben 259 (!) volte nella sua decisione sul flusso di dati UE-USA.
Max Schrems: «Fondamentalmente, il quadro costituzionale dell’UE richiede una supervisione indipendente. L’unico modo per cambiare questa situazione sarebbe un voto unanime di tutti gli Stati membri dell’UE per modificare i trattati dell’Unione.»
Il requisito di un tribunale indipendente. Inoltre, la Corte di giustizia dell’Unione europea (CGUE) ha anche sottolineato che gli Stati Uniti dovrebbero fornire un meccanismo di ricorso giuridico indipendente in materia di sorveglianza governativa. Poiché gli Stati Uniti non sono stati in grado di approvare una legislazione in materia, l’amministrazione Biden ha istituito un «Tribunale di revisione per la protezione dei dati». Sebbene sia denominato «Tribunale», si tratta in realtà di un organo esecutivo all’interno del Dipartimento di Giustizia degli Stati Uniti. È «indipendente» solo in virtù di un ordine esecutivo (EO) dell’ex presidente Biden, che può essere modificato da Trump in qualsiasi momento e non è vincolante per il presidente.
La sentenza «Slaughter»: esecutivo unitario (Trump). Conuna svolta di 180° rispetto alla giurisprudenza, la maggioranza conservatrice della Corte Suprema degli Stati Uniti ha ora deciso che l’indipendenza della FTC è incostituzionale. Ciò segue una teoria «unitaria», secondo cui il presidente degli Stati Uniti deve avere il potere su tutti organi esecutivi statunitensi e ha dichiarato incostituzionali tutte le leggi statunitensi che rendono indipendenti le varie agenzie. Dato che l’UE in quasi tutti i casi si è basata sull’«indipendenza» della FTC come garante della privacy, l’intera struttura del quadro UE-USA sulla protezione dei dati è appena crollata.
Max Schrems: «Anche secondo la logica della Commissione europea, la base di qualsiasi accordo UE-USA sul trasferimento dei dati è ormai compromessa. Chiediamo alla Commissione di avviare un’uscita ordinata dal cloud statunitense – cosa non facile, ma purtroppo inevitabile. La Commissione ha costruito un castello di carte giuridico sotto la pressione dell’industria; ora che crolla chiaramente, deve assumersi le proprie responsabilità.”
L’impatto non è illimitato. Anchese tutte le basi della decisione dell’UE sono venute meno, la decisione della Commissione europea rimane formalmente in vigore fino a quando la Commissione europea non la revochi o la Corte di giustizia non la annulli. Non vi è quindi alcun effetto immediato. Inoltre, il GDPR regolava solo il trasferimento dei dati personali. I dati non personali possono circolare liberamente. Inoltre, l’articolo 49 del GDPR consente i trasferimenti di dati necessari verso qualsiasi paese terzo. Tuttavia, non permette di delocalizzare strutturalmente i dati dall’UE, se ciò non è strettamente necessario.
Anche le SCC e le BCR sono interessate. Sebbene alcune aziende possano non fare direttamente affidamento sull’accordo quadro UE-USA e ricorrano invece formalmente alle SCC e alle BCR, di solito si basano anche su una «valutazione d’impatto» che a sua volta si affida a organismi esecutivi statunitensi precedentemente indipendenti, come il PCLOB o la Data Protection Review Court. La decisione della Corte Suprema, quindi, di solito riguarda anche loro, anche se non si basano sulla FTC. A differenza dei titolari del trattamento che si basano su una decisione formale della Commissione, devono aggiornare immediatamente la loro valutazione – e logicamente giungere alla conclusione che i trasferimenti di dati non sono più legali.
Prossimi passi: la Commissione deve abrogare l’accordo UE-USA. noyb ha inviato una lettera formale alla Commissione europea , chiedendole di adottare le misure necessarie per abrogare l’accordo UE-USA sui dati in modo ordinato. Dal punto di vista politico, molti Stati membri dell’UE hanno già intrapreso un percorso verso un approccio di “sovranità digitale” e hanno dichiarato di volersi distaccare dai fornitori di servizi statunitensi. Anche alcuni fornitori di servizi statunitensi si stanno orientando verso un trattamento separato dei dati dell’UE. Tuttavia, dato che gli Stati Uniti continuano a esercitare una forte pressione sull’UE affinché mantenga il flusso dei dati personali, noyb intenterà anche un’azione legale nelle prossime settimane, con l’obiettivo di consentire alla Corte di giustizia dell’Unione europea (CGUE) di annullare l’accordo attuale. Tuttavia, un’azione legale di questo tipo richiede in genere 2-3 anni prima che venga raggiunta una decisione definitiva.
