La decisione sull’indipendenza della Federal Trade Commission non riguarda direttamente il GDPR, ma può indebolire uno dei presupposti politici e giuridici del Data Privacy Framework UE-USA di Andrea Monti – Inizialmente pubblicato su Italian Tech – La Repubblica
La sentenza che colpisce la FTC
Il presidente deve poter avere il controllo assoluto su ogni componente dell’amministrazione, quindi, sono incostituzionali le leggi che stabiliscono l’indipendenza delle agenzie come la Federal Trade Commission che si occupa, fra le varie cose, del trattamento dei dati personali.
Questo, in sintesi, è il principio di diritto fissato dalla sentenza emessa il 29 giugno 2026 dalla Corte suprema degli Stati Unitie che ha, come effetto collaterale, la potenziale messa fuori legge dei trasferimenti di dati verso gli USA basati sul Data Privacy Framework (DPF) stipulato con la Commissione UE sulla base del regolamento sulla protezione dei dati personali (GDPR).
Non c’è un automatismo fra la decisione USA e l’annullamento del DPF perché fino a quando le parti lo applicano e la Corte europea non viene interessata della questione l’accordo, pur con tutte le sue limitazioni, rimane operativo. Il problema, tuttavia, esiste e dovrebbe essere gestito prima di porre istituzioni e aziende in enormi difficoltà.
Il punto debole del Data Privacy Framework
Il regolamento europeo sulla protezione dei dati personali stabilisce, infatti, che i dati dei cittadini degli Stati membri possono essere trasferiti all’estero solo se il Paese di destinazione offre un livello di tutela giuridica almeno equivalente a quello presente nella UE.
L’ordinamento statunitense non garantisce questa condizione e quindi per evitare che accadesse l’impensabile, cioè l’isolamento tecnologico e industriale degli Stati membri derivante dal divieto di invio dei dati in USA, nel corso degli anni la Commissione europea ha stipulato degli accordi con il governo americano che avrebbero dovuto risolvere stabilmente il problema.
In realtà non è mai stato così perché tutti gli accordi stipulati dalla Commissione sono stati via via annullati dalla Corte di giustizia UE nei famosi “procedimenti Schrems” e ora anche l’ultimo ancora in vigore potrebbe subire la stessa sorte se il caso venisse portato davanti ai giudici europei anche grazie alla sentenza americana.
Il limite politico del Brussels Effect
Al di là delle questioni giuridiche dei singoli casi, i motivi per cui a distanza di dieci anni dall’emanazione del regolamento europeo sulla protezione dei dati stiamo ancora discutendo di questi argomenti sono essenzialmente la natura ideologica del modo in cui è stato pensato, scritto e applicato il GDPR, e la pretesa hegeliana che sia la (teorica) razionalità di una norma a cambiare la realtà e non viceversa.
Il GDPR è un regolamento vecchio, pensato con la testa che guardava verso gli inizi del Duemila, applicato non, come pure dice chiaramente il testo della norma, per favorire la circolazione intraeuropea dei dati ma per bloccarla. Inoltre, è stato progressivamente applicato non per armonizzare i sistemi giuridici degli Stati membri ma come strumento geopolitico della UE contro gli USA e, in generale, come leva per innescare il Brussels Effect, la strategia basata sull’adozione unilaterale di regole per condizionare i mercati globali.
Non è questa la sede per discutere se i trattati UE consentono o meno alle istituzioni europee di svolgere questo ruolo, ma di certo il Brussels Effect funziona se le norme sono scritte bene e non è certamente il caso del GDPR e degli atti che dal GDPR derivano, come dimostra, appunto, la questione dell’esportazione dei dati verso gli USA.
L’autonomia degli Stati su difesa e sicurezza
La pretesa della UE, e la materia del contendere dibattuta in questi anni, è di sindacare il modo in cui gli USA consentono alle strutture di sicurezza e intelligence di ottenere i dati dei cittadini degli Stati membri della UE.
Possiamo giustamente essere preoccupati del fatto che una legge come il CLOUD Act impone alle aziende USA di consegnare alle autorità i dati detenuti in qualsiasi parte del mondo anche da filiali e sussidiarie e che la section 702 del FISA consente la sorveglianza tecnologica di qualsiasi straniero al di fuori degli USA. Ma allora gli altri Paesi dovrebbero essere altrettanto preoccupati del fatto che grazie alla legge 137/2023 non sono punibili gli operatori di polizia giudiziaria italiani che, durante le indagini “si introducono all’interno di un sistema informatico o telematico, danneggiano, deteriorano, cancellano, alterano o comunque intervengono su un sistema informatico o telematico ovvero su informazioni, dati e programmi in esso contenuti, attivano identità, anche digitali, domini e spazi informatici comunque denominati, anche attraverso il trattamento di dati personali di terzi, ovvero assumono il controllo o comunque si avvalgono dell’altrui dominio e spazio informatico comunque denominato o compiono attività prodromiche o strumentali”.
Perché non è la UE la soluzione
Per quanto legittime, tuttavia, queste preoccupazioni non hanno nulla a che vedere con il GDPR per tre ragioni: la prima è che i trattati fondativi della UE riservano difesa e sicurezza ai singoli Stati membri e quindi nessuna norma europea può essere emanata o interpretata in modo da occuparsi di questi argomenti; la seconda è che, salvo l’uso della forza, nessun Paese può imporre ad un altro limiti al modo in cui gestisce i propri interessi nazionali; la terza è che, salvi trattati stipulati in base a meccanismi di reciprocità, gli Stati garantiscono i diritti solo ai propri cittadini — questo è il motivo, per esempio, che spiega il perché delle domande apparentemente paradossali contenute nel questionario verde che veniva consegnato prima dell’atterraggio in USA, ora sostituito dall’ESTA. A queste ragioni se ne dovrebbe aggiungere un’altra che, forse, è la più importante di tutte: come ha correttamente evidenziato Lucio Caracciolo, l’Europa non è un soggetto politico dotato di sovranità superiore agli Stati membri.
Il nodo delle autorità indipendenti
Se il principio affermato dalla Corte in base al quale le agenzie governative non sono e non possono essere indipendenti dovesse essere generalizzato, un altro effetto potenzialmente dirompente sarebbe la sua applicazione anche alle autorità indipendenti create dalle norme europee come, appunto, quella sulla protezione dei dati personali —il “garante della privacy”, in altri termini.
Nella Costituzione italiana, infatti, l’unica autorità indipendente è l’autorità giudiziaria, cioè la magistratura, che è un potere dello Stato soggetto solo alla legge e i cui componenti, i magistrati, sono selezionati per concorso e non per cooptazione. Le “autorità indipendenti”, invece, sono istituite per legge ordinaria e i componenti sono scelti su base politica, non necessariamente, come pure stabilisce la legge, sulla base di una produzione scientifica o di un’esperienza professionale specificamente maturata nel campo della protezione dei dati personali.
Nemmeno si potrebbe sostenere che l’Europa ha “costituzionalizzato di fatto” le autorità indipendenti perché questo significherebbe stabilire che la UE ha il potere di incidere sull’esercizio della sovranità di uno Stato membro, cosa vietata dai trattati. D’altra parte, almeno per i dati personali, il trattato sui diritti fondamentali dell’UE parla di “autorità” non come nuovo soggetto ma solo per indicare la caratteristica che deve avere per poter tutelare un diritto fondamentale. Ma in ogni Stato democratico i diritti sono tutelati dalla magistratura che è un’autorità e che è indipendente per Costituzione. Quindi, a stretto rigore, le “altre” autorità non possono tutelare i diritti e non sono indipendenti quanto la magistratura.
Cosa potrebbe succedere ora?
Come detto in apertura, sul breve periodo non dovrebbe cambiare nulla.
Sebbene ONG che operano a difesa dei diritti civili abbiano già chiesto alla Commissione europea di annullare l’accordo con gli USA è altamente improbabile che questo accada spontaneamente. Sarà dunque necessario attendere l’esito di eventuali ricorsi alla Corte di giustizia UE contro il DPF ma che, ad oggi, non sono ancora stati presentati.
Nel frattempo, l’intero ecosistema industriale USA-EU rimane esposto all’incertezza derivante dalla scelta di procrastinare e mettere la testa nella sabbia, applicando l’immortale regola teorizzata da Eduardo: adda passà ‘a nuttata.
Possibly Related Posts:
- La crisi fra Italia e USA riporta al centro del dibattito l’autonomia tecnologica
- L’India blocca Telegram e socializza il costo della prevenzione
- Anthropic, Google e la responsabilità per l’uso dell’IA
- Temu, il DSA e la regolazione europea come strumento geopolitico
- Hanta, Ebola e la lezione dimenticata del Covid: perché il contact tracing resta un tabù
