Il 10 luglio 2023, con un documento di oltre 190 pagine, la Commissione Europea prova per la terza volta a risolvere un problema irrisolvibile: quello di consentire lo scambio di dati personali con gli USA, “accusati” di non offrire adeguate tutele ai dati dei cittadini europei che vengono trattati, a vario titolo, da aziende nordamericane. di Andrea Monti – Inizialmente pubblicato su Strategikon – un blog di Italian Tech
La notizia ha fatto tirare (più di) un sospiro di sollievo a tutte le aziende basate nella UE che sono legate, in un modo o nell’altro, a Big Tech ma, in realtà, c’è poco di cui rallegrarsi perché anche questa nuova versione del “privacy shield” è destinata a non durare granché. Come le sue due precedenti incarnazioni, infatti, anche questo atto non risolve il problema fondamentale che affligge i rapporti fra UE e USA: quello della possibilità per le strutture governative americane di fare (giustamente) quello che vogliono sui dati dei cittadini degli Stati membri della UE.
La prospettiva concreta, quindi, è che fra qualche tempo, dopo le sentenze della Corte europea note come “Schrems I” e “Schrems II” che avevano smontato le precedenti decisioni della Commissione, una “Schrems III” farà fare la stessa fine al nuovo testo causando nuovamente paura, incertezza e dubbio nell’ecosistema pubblico e privato che si appoggia su Big Tech, nonché rallentamento alla transizione digitale. Pubbliche amministrazioni e aziende, infatti, continueranno ad operare sotto la Spada di Damocle di qualche provvedimento giudiziario o emesso da qualche autorità nazionale di protezione che ben potrebbe rilevare che il re è nudo e far crollare il fragile castello di carte costruito dalla Commissione europea.
Per dimostrare la correttezza di questa affermazione sarebbe necessario entrare nel dettaglio tecnico-giuridico della decisione di adeguatezza ma, almeno in questa sede, non è possibile. Basterà quindi ricordare che sia il Parlamento Europeo sia lo European Data Protection Board non si sono dichiarati entusiasti dell’accordo, evidenziando (in particolare l’EDPB) che il nodo da sciogliere rimane quello dell’estensione dei poteri delle istituzioni americane che tutelano la sicurezza nazionale.
Non è servito ad aggirare il problema l’uso, da parte della Commissione, di una tecnica normativa ampiamente praticata anche dalle altre istituzioni europee: scrivere testi di lunghezza biblica e comprensibili solo ad iniziati, che diventano poi non modificabili se non con interventi di dettaglio (qualcuno si vada a vedere, per esempio, di quante pagine è composto il dossier sull’AI Act). Tuttavia, non sono bastate le oltre 190 pagine per nascondere le criticità del provvedimento sotto il tappeto perché, nonostante gli sforzi, il rigonfiamento è fin troppo visibile.
Così, leggendo a volo d’uccello, basta fermarsi a pagina 35 per scoprire che “U.S. intelligence agencies may seek access to such data for national security purposes … under the Foreign Intelligence Surveillance Act (FISA) … FISA contains several legal bases that may be used to collect … the personal data of Union data subjects transferred under the EU-U.S. DPF (Section 105 FISA222, Section 302 FISA223, Section 402 FISA224, Section 501 FISA225 and Section 702 FISA226)”. Ma proprio il FISA (e in particolare la Section 702) era una delle ragioni che portarono la Corte europea a invalidare i predecessori di questa decisione. Se, dunque, non andava bene prima, non si capisce perché ora accada il contrario. Per non parlare del CLOUD Act, la cui criticità è stata segnalata al Garante italiano da quasi un anno, senza che si abbia avuta notizia di un qualche intervento.
Poco oltre, nella stessa pagina, si legge che “U.S. intelligence agencies also have possibilities to collect personal data outside the United States, which may include personal data in transit between the Union and the United States”. Dunque, non solo le autorità americane possono accedere ai dati dei cittadini degli Stati membri della UE che hanno in casa, ma possono anche andarli a prendere all’estero (dove, cioè, non hanno giurisdizione e dove non la ha nemmeno la UE). Che gli USA abbiano spiato le istituzioni dei Paesi europei non è un fatto nuovo, e il fatto che possano farlo (vivaddio) solo a fronte di un Executive Order del Presidente non cambia il fatto che la UE (o meglio, i singoli Stati) non abbiano voce in capitolo. Se, poi, ci si addentra nella lettura della sezione dedicata specificamente all’intelligence, si capisce chiaramente che per quanti contorcimenti retorici si possano tentare, non c’è nessuno rimedio giuridico a disposizione dei non statutinensi per sindacare l’operato delle strutture che garantiscono la sicurezza dello Stato. D’altra parte, ed è questo il vero tallone d’Achille della UE, nessun Paese (non gli USA, ma nemmeno qualsiasi altro) accetterebbe una limitazione della propria sovranità interna su questioni che riguardano la propria sopravvivenza o addirittura esistenza. Dunque, perché di questo si tratta, pensare di risolvere una questione di relazioni internazionali con uno strumento giuridico equivale a piantare un chiodo con un cacciavite.
In concreto, il ragionamento si traduce nella constatazione che la Commissione UE ha soltanto dilazionato il problema senza risolverlo, ma così facendo ha creato più problemi di quanti ne ha eliminati. L’applicazione del nuovo “privacy shield” (o come si chiamerà) è farraginosa, burocratica e costosa e, nello stesso tempo, non facilita l’attività delle aziende e delle istituzioni pubbliche. Inoltre, e forse questa è la cosa più grave, la decisione di adeguatezza “certifica” che fino a ieri non si potevano scambiare dati con gli USA e che, per logica deduzione, chi lo ha fatto ha probabilmente violato la legge. Dal che derivando due considerazioni: la prima è domandarsi dov’erano le autorità nazionali di protezione dei dati e perché non hanno bloccato questi trasferimenti, e la seconda è chiedersi se, approvata la decisione, ora apriranno istruttorie ad ampio spettro per sanzionare chi fino ad oggi ha utilizzato i servizi GAFAM (e quelli dei tanti altri operatori statunitensi). Si, perché questa decisione non “sana” il passato e quindi i garanti dovrebbero intervenire a meno di non violare essi stessi il proprio mandato istituzionale.
Quale che sia la scelta delle autorità, sarà una scelta gravida di controindicazioni: se indagheranno, dovranno sanzionare in nome dell’inerzia politica comunitaria e nazionale; e se non indagheranno avranno inferto un danno irreparabile alla fiducia nel primato della legge, perché certificheranno che in nome della necessità politica, il diritto deve fare un passo indietro.
Mai come nel caso della nuova decisione di adeguatezza, dunque, la pezza è peggiore del buco e non c’è da invidiare il sarto che la dovrà applicare.
Possibly Related Posts:
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte
- Le accuse mosse a Pavel Durov mettono in discussione la permanenza in Europa di Big Tech
- Cosa significa l’arresto di Pavel Durov per social media e produttori di smart device