Informiamo le Aziende associate che venerdì 7 ottobre scorso, il Presidente degli USA ha firmato l’Ordine esecutivo sul rafforzamento delle tutele per le attività di intelligence degli USA, c.d. Enhancing Safeguards for United States Signals Intelligence Activities (v. https://www.whitehouse.gov/briefing-room/presidential-actions/2022/10/07/executive-order-on-enhancing-safeguards-for-united-states-signals-intelligence-activities/).

Tale Ordine dà attuazione all’impegno assunto dagli USA, nell’ambito dell’EU-US Data Privacy Framework di marzo scorso, di attuare una serie di riforme volte a rafforzare la tutela della privacy e delle libertà civili nell’ambito delle attività di intelligence statunitensi, con l’obiettivo condiviso di superare gli effetti della sentenza della Corte di giustizia dell'UE di luglio 2020 (c.d. caso Schrems II), che aveva invalidato la decisione di adeguatezza del “Privacy Shield” per i trasferimenti dei dati personali in USA, proprio per l’ampiezza della sorveglianza consentita dai programmi governativi USA e per l’assenza di adeguate tutele a favore degli interessati europei.

In particolare, il nuovo Ordine esecutivo (e il regolamento che lo accompagna) dispone:

·         il rafforzamento dei requisiti per l'accesso ai dati personali da parte delle autorità di intelligence statunitensi (collection of signals intelligence). In particolare, si prevede che le attività di Signals Intelligence siano condotte per perseguire obiettivi di sicurezza nazionale accertati e legittimi (es. antiterrorismo, spionaggio, minacce alla cybersicurezza, proliferazione di armi di distruzione di massa) e con modalità proporzionate a tali obiettivi, al fine di garantire un giusto equilibrio tra le finalità di intelligence e l'impatto sulla privacy e sulle libertà civili delle persone, indipendentemente dalla loro nazionalità o ubicazione. Inoltre, si sancisce la priorità della raccolta di informazioni “mirata” rispetto a quella massiva e si prescrivono le regole per il trattamento dei dati utilizzati nell’ambio delle attività di intelligence (es. minimizzazione, conservazione, sicurezza, qualità, e affidabilità, documentazione, formazione, controllo);

·         l’istituzione di un meccanismo indipendente e imparziale di tutela, che consenta ai cittadini di ottenere un controllo sul trattamento dei dati personali effettuato nell’ambito delle attività di Signals Intelligence e di conseguire un risarcimento qualora sia accertata la violazione della normativa privacy applicabile e dello stesso Ordine esecutivo;

·         la revisione delle politiche e delle procedure delle Agenzie di intelligence statunitensi per attuare le nuove tutele.

Quanto agli effetti del nuovo Ordine esecutivo sui flussi di dati personali UE-USA, esso non integra automaticamente il presupposto giuridico per il trasferimento dei dati negli USA, ma costituisce il riferimento per l’adozione, da parte della Commissione europea, di una decisione di adeguatezza, che stabilisca l’idoneità del nuovo framework USA a garantire un livello di protezione dei dati personali sostanzialmente equivalente a quello assicurato in UE (art. 45 GDPR) (la procedura di adozione della decisione di adeguatezza, che potrà richiedere fino a 6 mesi, prevede il coinvolgimento dell’EDPB, del Comitato composto dai rappresentanti degli Stati membri e del Parlamento europeo).

Pertanto, solo successivamente a tale decisione, i dati personali potranno circolare liberamente e in sicurezza tra operatori UE e gli operatori USA che avranno aderito al nuovo impianto, impegnandosi a rispettare una serie di obblighi in materia di protezione dei dati personali.

Quanto alle prime reazioni nei confronti dell’Ordine esecutivo:

·         la Commissione europea ha evidenziato come l'obiettivo dei negoziati che hanno condotto all’adozione dell’Ordine esecutivo del 7 ottobre scorso è stato quello di affrontare le preoccupazioni sollevate dalla Corte di giustizia dell'UE nella sentenza Schrems II e fornire una base giuridica durevole e affidabile per i flussi di dati transatlantici. Ciò si riflette nelle salvaguardie incluse nell'ordine esecutivo, per quanto riguarda sia la limitazione sostanziale dell'accesso ai dati da parte delle autorità di sicurezza nazionale statunitensi (necessità e proporzionalità) sia l'istituzione del nuovo meccanismo di ricorso; per maggiori informazioni, v. le FAQ pubblicate dalla Commissione europea e disponibili al seguente link: https://ec.europa.eu/commission/presscorner/detail/en/QANDA_22_6045;

·         sul sito del Garante privacy italiano è stato pubblicato un intervento - del 10 ottobre scorso - di Guido Scorza, componente del Collegio dell’Autorità, dedicato al nuovo Ordine esecutivo, nel quale si evidenziano i punti positivi e quelli critici del provvedimento. Quanto a questi ultimi, la principale criticità è rinvenuta nella natura giuridica dell’atto adottato dagli USA, vale a dire l’Ordine esecutivo, quindi, un atto di indirizzo che, per quanto autorevole, importante e significativo, non è una legge e non può modificare le leggi, con conseguenze rilevanti sull’effettività dell’allineamento tra le leggi americane e quelle europee. Per maggiori informazioni, v. https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9813161.

L’Ufficio Economico della scrivente resta a disposizione per ogni eventuale chiarimento necessario.