L’ordine esecutivo 13984: ennesimo distanziamento tra Usa e Ue sulla questione privacy?
Il 19 gennaio 2021, nell’ultimo giorno della sua presidenza, Donald J. Trump ha promulgato l’ordine esecutivo 13984 sulla “Applicazione di misure aggiuntive per la gestione dell’emergenza nazionale riguardante le significative attività cibernetiche ostili” (libera traduzione della versione inglese del titolo). Nonostante a tale ordine esecutivo debbano seguire le apposite e specifiche regolamentazioni da parte dei vari Ministeri statunitensi, è già possibile fare una prima stima delle conseguenze che avrà sul già teso rapporto tra Stati Uniti e Unione Europea in tema privacy.
L’obiettivo è, in questo caso, il rafforzamento della collaborazione tra privati che forniscono servizio di IaaS (Infrastructure as a Service, in pratica il servizio di affitto in cloud dei server, di potenza di calcolo o di spazi di memoria) e tra questi e il Governo americano, comprese quindi le agenzie di intelligence, per contrastare la sempre maggiore minaccia cibernetica che grava sugli Stati Uniti. Per raggiungere tale obiettivo i privati fornitori di servizi IaaS dovranno, quindi, raccogliere e, se richiesti, comunicare i dati anagrafici, i dati di contatto, i dati di utilizzo del servizio e i dati relativi al pagamento del servizio nella loro accezione più ampia possibile dei loro clienti stranieri.
Sempre dal testo dell’ordine esecutivo è possibile evincere che a seguito dell’acquisizione di tali informazioni, sarà possibile per il Governo americano indicare persone fisiche, giuridiche o addirittura Stati che non potranno accedere ai servizi di fornitori americani di Iaas o che dovranno essere considerati “sorvegliati speciali” in quanto rappresentano una minaccia per la sicurezza cibernetica statunitense.
Poco più di due mesi prima, il 10 novembre, il Garante Europeo aveva pubblicato le Raccomandazioni n.2 del 2020 relative alle garanzie essenziali europee per le misure di sorveglianza, anche in risposta alle conseguenze portate dalle sentenze Schrems I e II. Nella valutazione di una decisione di adeguatezza ex art. 45 del RGPD o nel valutare le garanzie del Paese terzo ex art. 46 par. 1 del RGPD queste Raccomandazioni forniscono un utile supporto.
(Nella foto: l'Avv. Matteo Alessandro Pagani, Delegato Federprivacy nell'area metropolitana di Milano)
Nel soppesare, dunque, le possibili ingerenze nei diritti fondamentali, in particolare il diritto al rispetto della vita privata e il diritto alla protezione dei dati personali, rispettivamente art. 7 e 8 della Carta dei Diritti Fondamentali dell’Unione Europea così come interpretata dalla Corte di Giustizia Europea, si raccomanda il rispetto delle seguenti condizioni: 1) Il trattamento deve basarsi su regole chiare, precise e accessibili, 2) Devono essere dimostrate la necessità e la proporzionalità rispetto agli obiettivi legittimi perseguiti, 3) Dovrebbe esistere un meccanismo di controllo indipendente, 4) La persona deve poter accedere a mezzi di ricorso efficaci.
Pertanto, nel valutare la preliminare situazione impostata dall’ordine esecutivo 13984 dell’ormai ex Presidente degli Stati Uniti nell’ottica delle condizioni essenziali descritte dalle Raccomandazioni 2/2020 dell’EDPB è già possibile trarre delle conclusioni abbastanza negative.
Infatti, una tale, sproporzionata rispetto all’obiettivo di maggiore sicurezza cibernetica, quantità di dati personali, vagliati attraverso meccanismi poco trasparenti che molto probabilmente ricalcheranno quelli utilizzati per la sorveglianza così come previsti dalla Sezione 702 (FISA) e dall’ordine esecutivo 12333, già criticati in sede di Schrems I e II, provocheranno un ennesimo allontanamento della possibilità di una decisione di adeguatezza o comunque di un accordo tra Stati Uniti e Unione Europea per regolamentare il flusso transatlantico di dati personali.