We are now working on an in-depth analysis, which will be published on noyb.eu in the next days.
Prima reazione: È improbabile che l'Ordine esecutivo sulla sorveglianza degli Stati Uniti soddisfi il diritto dell'UE
A più di sei mesi da un "accordo di principio" tra l'UE e gli USA, il Presidente degli Stati Uniti Joe Biden ha firmato l'atteso ordine esecutivo che intende rispettare le passate sentenze della Corte di giustizia europea (CGUE). L'obiettivo è quello di superare le limitazioni nei trasferimenti di dati tra l'UE e gli Stati Uniti. La CGUE ha richiesto (1) che la sorveglianza degli Stati Uniti sia proporzionata ai sensi dell'articolo 52 della Carta dei diritti fondamentali (CFR) e (2) che vi sia accesso al ricorso giudiziario, come richiesto dall'articolo 47 CFR. Il nuovo ordine esecutivo di Biden sembra non rispettare entrambi i requisiti. C'è una continua "sorveglianza di massa" e un "tribunale" che non è un vero e proprio tribunale.
Ordine esecutivo. Un ordine esecutivo è una direttiva interna del Presidente degli Stati Uniti all'interno del governo federale, ma non una legge. In precedenza, la questione era regolata da un ordine del Presidente Obama del 2014, chiamato PPD-28. Sebbene sia positivo che il nostro contenzioso porti ora a una reazione da parte del Presidente degli Stati Uniti, questo ordine presidenziale interno probabilmente non risolverà il problema:
La sorveglianza di massa continua attraverso due tipi di "proporzionalità". Gli Stati Uniti sottolineano che il nuovo ordine esecutivo utilizza la formulazione del diritto dell'UE ("necessario" e"proporzionato" come nell'articolo 52 del CFR) invece del precedente termine"il più possibile personalizzato" utilizzato nella sezione 1(d) del PPD-28. Questo potrebbe risolvere il problema se gli Stati Uniti seguissero la stessa interpretazione e applicassero anche il test di proporzionalità della CGUE. Questo potrebbe risolvere il problema, se gli Stati Uniti seguissero la stessa interpretazione e applicassero anche il test di proporzionalità della CGUE.
Tuttavia, nonostante la modifica di queste parole, non vi è alcuna indicazione che la sorveglianza di massa negli Stati Uniti cambierà nella pratica. La cosiddetta "sorveglianza di massa" continuerà con il nuovo ordine esecutivo (si veda la sezione 2 (c) (ii)) e tutti i dati inviati ai provider statunitensi continueranno a finire in programmi come PRISM o Upstream, nonostante la CGUE abbia dichiarato per due volte le leggi e le pratiche di sorveglianza statunitensi non"proporzionate" (secondo l'interpretazione europea del termine).
Come è possibile? Sembra che l'UE e gli USA abbiano concordato di copiare le parole"necessario" e"proporzionato" nell'Ordine esecutivo, ma non hanno concordato che avranno lo stesso significato legale. Se avessero lo stesso significato, gli Stati Uniti dovrebbero limitare radicalmente i loro sistemi di sorveglianza di massa per conformarsi alla concezione di sorveglianza "proporzionata" dell'UE.
Max Schrems, presidente di noyb.eu:"L'UE e gli Stati Uniti sono ora d'accordo sull'uso del termine "proporzionato", ma sembrano in disaccordo sul suo significato. Alla fine, la definizione della CGUE prevarrà - probabilmente annullando di nuovo qualsiasi decisione dell'UE. La Commissione europea sta ancora una volta chiudendo un occhio sulla legge statunitense, per permettere di continuare a spiare gli europei"
la "Corte" non è una vera Corte. L'Ordine Esecutivo intende aggiungere anche un mezzo di ricorso. Ci sarà ora una procedura in due fasi, la prima delle quali sarà affidata a un funzionario del Direttore dell'Intelligence nazionale e la seconda a un "Tribunale per la revisione della protezione dei dati". Tuttavia, non si tratterà di una "Corte" nel normale significato giuridico dell'articolo 47 della Carta o della Costituzione degli Stati Uniti, ma di un organo del ramo esecutivo del governo statunitense. Il nuovo sistema è una versione aggiornata del precedente sistema "Ombudsperson", già respinto dalla CGUE. Sembra chiaro che questo organo esecutivo non equivarrebbe a un "ricorso giudiziario" come richiesto dalla Carta dell'UE.
Il giudizio da parte della "Corte" è già stato definito nel decreto esecutivo. Gli utenti dovranno sollevare questioni con un organismo nazionale nell'UE, che a sua volta solleverà la questione con il governo degli Stati Uniti. Come in precedenza, il governo statunitense non confermerà né smentirà che l'utente era sotto sorveglianza e si limiterà a informare l'utente che non c'è stata alcuna violazione o che si è trattato di un rimedio (cfr. sezione 3(c)(E) dell'EO). L'utente non ne saprà di più. Questo rende anche inutile l'opzione di un appello, poiché non c'è semplicemente nulla per cui appellarsi, finché l'utente ha ricevuto questa risposta con il timbro di gomma. La sezione 3(i)(d)(H) si spinge addirittura a precisare quale sarà la risposta della "Corte", indipendentemente dalle argomentazioni o dal caso:"l'esame non ha individuato alcuna violazione coperta o il Tribunale per il riesame della protezione dei dati ha emesso una decisione che richiede un adeguato rimedio"
Max Schrems, presidente di noyb.eu:"Dobbiamo studiare la proposta in dettaglio, ma a prima vista è chiaro che questo 'tribunale' semplicemente non è un tribunale. LaCarta prevede un chiaro requisito di "ricorso giudiziario": il solo fatto di rinominare un organo di reclamo come "tribunale" non lo rende un vero e proprio tribunale. I dettagli della procedura saranno importanti anche per vedere se questo può soddisfare il diritto dell'UE."
Ulteriori ricerche ed eventuale ricorso. noyb e i suoi partner analizzeranno i documenti in modo più approfondito nei prossimi giorni e pubblicheranno un'analisi legale dettagliata nei prossimi giorni e settimane. Se la decisione della Commissione non sarà in linea con il diritto dell'UE e con le sentenze della CGUE in materia, noyb probabilmente presenterà un altro ricorso alla CGUE. Nel frattempo, il Congresso degli Stati Uniti dovrà ri-autorizzare il FISA 702 nel 2023, consentendo potenzialmente al legislatore statunitense di implementare limitazioni significative che rispettino i diritti alla privacy delle persone non statunitensi.
Max Schrems:"Analizzeremo questo pacchetto in dettaglio, il che richiederà un paio di giorni. A prima vista sembra che le questioni fondamentali non siano state risolte e prima o poi si tornerà alla CGUE"."
Paesi con protezioni della privacy simili non riescono a produrre un accordo stabile? Non sembra logico che due Paesi democratici, che concordano entrambi sui principi giuridici di base della privacy, possano produrre il terzo accordo fallato di fila:
Il Quarto Emendamento della Costituzione statunitense sancisce il diritto alla privacy e richiede una causa probabile e l'approvazione giudiziaria per qualsiasi intercettazione. Allo stesso modo, la CGUE richiede che la sorveglianza sia mirata e che vi sia un'approvazione o un riesame giudiziario ai sensi della Carta dei diritti fondamentali dell'UE.
L'unica differenza sembra essere che mentre l'UE considera la privacy come un diritto umano che si applica a qualsiasi persona, il Quarto Emendamento si applica solo ai cittadini statunitensi o ai residenti permanenti. Secondo gli Stati Uniti, gli europei non hanno alcun diritto alla privacy. Il FISA 702 sfrutta questa differenza nella legge statunitense e consente una sorveglianza che è illegale ai sensi del Quarto Emendamento, a condizione che non siano presi di mira gli americani.
Max Schrems:"È sorprendente che l'UE e gli Stati Uniti concordino sul fatto che le intercettazioni necessitino di una causa probabile e di un'approvazione giudiziaria. Tuttavia, gli Stati Uniti ritengono che gli stranieri non abbiano diritto alla privacy. Dubito che gli Stati Uniti abbiano un futuro come cloud provider del mondo, se le persone non statunitensi non hanno diritti in base alle loro leggi. Mi sembra contraddittorio che la Commissione europea stia lavorando a un accordo che accetta che gli europei siano cittadini di 'seconda classe' e non meritino gli stessi diritti di privacy dei cittadini statunitensi"
Le aziende statunitensi non sono tenute a conformarsi al GDPR. Ciò che colpisce è che la Commissione europea non ha richiesto che i cosiddetti "Principi dello scudo per la privacy" siano allineati al GDPR, in vigore dal 2018. I principi sono in gran parte uguali a quelli del precedente "Safe Harbor", redatti nel 2000 e che continueranno a essere utilizzati nel nuovo quadro normativo. Ciò significa che le aziende statunitensi possono continuare a trattare i dati europei senza rispettare il GDPR. Ad esempio, non hanno nemmeno bisogno di una base giuridica per il trattamento, come il consenso. In base al Privacy Shield, le aziende statunitensi devono solo offrire un'opzione di opt-out agli utenti. Questo nonostante la CGUE abbia sottolineato che negli Stati Uniti devono esistere protezioni "sostanzialmente equivalenti".
I prossimi passi. Ora che gli Stati Uniti hanno emesso il loro ordine esecutivo, la Commissione europea dovrà redigere una cosiddetta "decisione di adeguatezza" ai sensi dell'articolo 45 del GDPR. Una volta emessa la bozza di decisione, la Commissione dovrà ascoltare il Comitato europeo per la protezione dei dati (EDPB), ma non sarà vincolata dalle sue conclusioni. Inoltre, gli Stati membri europei devono essere informati e possono bloccare l'accordo. Questo processo può richiedere un paio di mesi. Tuttavia, anche le dichiarazioni negative dell'EDPB e degli Stati membri non sono vincolanti per la Commissione. Una volta pubblicata la decisione, le aziende potranno fare affidamento su di essa per l'invio di dati negli Stati Uniti e gli utenti potranno impugnarla presso i tribunali nazionali ed europei. Questo non è previsto prima della primavera del 2023, anche se inizialmente era stato previsto per l'autunno del 2022.