A margine degli incontri a livello europeo e globale tenutisi a Bruxelles, nella conferenza stampa congiunta del presidente degli Stati Uniti e della presidente della Commissione UE del 25 marzo 2022 è stata data la notizia del raggiungimento dell’accordo “di principio” tra le parti sui flussi di dati personali. Si tratta dell’intesa politica propedeutica all’accordo giuridico-vincolante che andrà a sostituire il Privacy Shield, invalidato dalla decisione della CGUE nel caso Schrems II del luglio 2020.

Scetticismo

A dispetto del generale compiacimento per il risultato raggiunto e di cui si sentiva particolare bisogno per non penalizzare i rapporti commerciali tra le due sponde dell’Atlantico, pur non potendo ancora esaminare il testo di riferimento, residua un sostanziale scetticismo riguardo all’adeguatezza del nuovo strumento – denominato “Trans-Atlantic Data Privacy Framework” – nel risolvere le lacune che hanno determinato l’invalidazione del precedente Privacy Shield. La soluzione del problema risiede nella capacità di colmare quel differenziale regolatorio riscontrato tra i due sistemi normativi: negli USA, alle autorità di contrasto e ai servizi segreti nazionali è concesso il potere discrezionale di ottenere l’accesso a dati personali ritenuti utili ai propri fini istituzionali; di converso, agli interessati – come potenziale contrappeso – non è riconosciuto l’esercizio di diritti a tutela degli stessi (i diritti possono essere limitati ma non negati in toto) né azioni di ricorso presso autorità indipendenti per la difesa dei loro diritti e libertà. 

Il vero problema sta proprio nell’individuazione – dal lato della giurisdizione americana — di un giusto bilanciamento tra i legittimi interessi di sicurezza nazionale e la tutela di diritti e libertà dei soggetti cui si riferiscono i dati personali.

Anticipazioni dell’accordo politico

L’accordo politico o “di principio” rinvia al successivo accordo giuridico avente forza vincolante tra le parti. Dal lato dell’Unione, il vincolo discende dalla presumibile attestazione della Commissione che lo strumento del futuro accordo giuridico costituisce garanzia adeguata al superamento del divieto di trasferimento di dati personali dall’Unione agli USA. Grazie a questa formale dichiarazione, il rispetto delle condizioni indicate nel futuro accordo giuridico da parte dell’impresa americana che vi aderisce, renderà legittimo il flusso di dati tra l’esportatore europeo e l’importatore USA. 

Dal lato americano, la situazione è più complessa; il vincolo giuridico è duplice e consiste in: 

• la misura legislativa che determina i limiti alle restrizioni consentite e, soprattutto, le garanzie offerte agli interessati 
• la libera adesione vincolante dell’impresa americana al sistema di autocertificazione – concepito sulla falsariga del precedente Privacy Shield – tramite cui la stessa dichiara di rispettare principi e regole in esso contenuti.

Executive Order

Il punto più delicato e su cui si vaglierà in seguito l’efficacia del futuro accordo giuridico è la misura legislativa con cui gli Stati Uniti garantiranno il test di proporzionalità e necessità ed «il diritto a un ricorso effettivo e a un giudice imparziale». 

Le assicurazioni contenute nel comunicato congiunto dovrebbero far ben sperare: «Under the Trans-Atlantic Data Privacy Framework, the United States is to put in place new safeguards to ensure that signals surveillance activities are necessary and proportionate in the pursuit of defined national security objectives, establish a two-level independent redress mechanism with binding authority to direct remedial measures, and enhance rigorous and layered oversight of signals intelligence activities to ensure compliance with limitations on surveillance activities.». 

Sebbene le parole abbiano peso, un certo scetticismo permane in quanto solo il testo del futuro accordo giuridico potrà dirimere i dubbi circa la sua adeguatezza quale garanzia di tutela dei diritti e delle libertà degli interessati e, in particolare, rispondere in via definitiva agli interrogativi se: 

• le condizioni in esso previste saranno in grado di superare il test di proporzionalità e necessità 
• sarà davvero riconosciuto «il diritto a un ricorso effettivo e a un giudice imparziale» 
• il previsto Executive Order contenente le richiamate condizioni avrà caratteristiche giuridiche tali da poter essere considerato una “misura legislativa” come richiesto dal GDPR; se, ad esempio, esso avrà contenuto innovativo capace di superare anche l’approccio interpretativo della Suprema Corte americana la quale da ultimo, con decisione del 4 marzo 2022 (FBI c. Fazaga), ha reso più difficile agire in giudizio contro attività di presunto spionaggio illegale. Con tale decisione la Corte ha stabilito che il Congresso non ha eliminato il privilegio dei segreti di stato per i casi di spionaggio quando ha promulgato la riforma della sorveglianza nella FISA (cioè, proprio una delle due norme USA che, nella decisione sul caso Schrems II, la CGUE ha indicato come esempio di violazione del test di proporzionalità e necessità). 

Solo a seguito di tale accordo giuridico e della successiva dichiarazione di adeguatezza eventualmente emessa dalla Commissione UE, il nuovo strumento transatlantico potrà essere utilizzato per liberalizzare i flussi di dati personali tra esportatori europei e importatori USA.