In tutto il mondo: I senatori statunitensi rispondono a Schrems II della CGUE - Rivisitazione della necessità di una riforma della privacy

Il 9.12.2020^[1] la Commissione del Senato per il Commercio, la Scienza e i Trasporti ha tenuto un'audizione in cui si è discusso della necessità di una legislazione federale completa sulla privacy negli Stati Uniti e del futuro dei flussi di dati transatlantici alla luce dell'invalidazione dello Scudo per la privacy UE/USA da parte della Corte di giustizia dell'Unione europea (CGUE) il 16.07.2020 (causa C-311/18, Schrems II).Le discussioni ^si sono incentrate sulle considerazioni politiche che hanno portato la CGUE a concludere che il quadro normativo allora esistente non è riuscito a fornire standard di protezione equivalenti a quelli richiesti dal diritto dell'UE. Inoltre, l'udienza ha visto l'intervento di esperti sui passi pratici da compiere per istituire un quadro normativo successivo per il trasferimento dei dati.

L'incontro ha rafforzato l'urgenza di una rapida sostituzione legislativa che permetta di continuare le operazioni transatlantiche. È stato comunemente riconosciuto che tale sviluppo sarebbe particolarmente cruciale per le piccole imprese, che rappresentano oltre il 70% delle aziende certificate Privacy Shield.^[3] Pur riconoscendo la necessità di un consenso internazionale, l'audizione non ha incluso esperti europei né rappresentanti della società civile. Sono invece intervenuti rappresentanti della Federal Trade Commission (FTC), del Dipartimento del Commercio (DoC), dell'industria del software (Victoria Espinel), nonché il Koch Distinguished Professor in Law, Neil Richards e Peter Swire, professore di legge ed etica presso il Georgia Tech Scheller College of Business e direttore associato per le politiche del Georgia Tech Institute for Information Security and Privacy.

Nel suo discorso di apertura, il presidente della Commissione, Roger Wicker, ha espresso il suo sostegno a un quadro transatlantico per il trasferimento dei dati "durevole e duraturo", ritenendolo un "ordine alto ma essenziale". Rifacendosi a una stima secondo cui "il commercio abilitato dalla tecnologia digitale è stato tra gli 800 e i 1.500 miliardi di dollari a livello globale nel 2019 [mentre si prevede che] aumenterà il PIL globale di oltre 3.000 miliardi di dollari" nel 2020, ha alluso ai significativi benefici economici che il commercio internazionale offre alle imprese nazionali e internazionali. Nel corso delle sue osservazioni, Wicker ha sostenuto che il precedente Privacy Shield ha istituito un meccanismo legale "volto a garantire che oltre 5.000 piccole e medie imprese, che abbracciano diversi settori economici sia negli Stati Uniti che nell'Unione Europea, possano continuare a impegnarsi nel commercio digitale transatlantico senza interruzioni". Sottolineando alcuni dei requisiti chiave previsti dallo Scudo per la privacy (ad esempio, gli obblighi di notifica imposti alle organizzazioni partecipanti, la nomina di difensori civici per consentire un'indagine adeguata dei reclami, ecc.), ha ritenuto che i diritti di ricorso esistenti negli Stati Uniti siano adeguati e che il suo regime di sorveglianza sia paragonabile a quello di altri Stati membri dell'UE. Tuttavia, riconoscendo la comunanza di valori democratici condivisi tra i due continenti, Wicker ha rafforzato il suo impegno per lo sviluppo di standard significativi per la protezione dei dati dei consumatori che "sosterrebbero il libero flusso di informazioni attraverso l'Atlantico e incoraggerebbero un continuo partenariato economico e strategico" con l'Europa.

La deputata Maria Cantwell ha sottolineato l'importanza di una maggiore trasparenza sulle decisioni prese dalla Foreign Intelligence Surveillance Court (FISC). Poiché il commercio digitale tra gli Stati Uniti e l'Europa è valutato in oltre 300 miliardi di dollari all'anno, la deputata si è espressa a favore di una risoluzione che non solo promuova la fiducia e ripristini una maggiore cooperazione in materia di sorveglianza tra le due entità, ma che si astenga anche da ulteriori deviazioni "verso il protezionismo nazionale".

Nelle sue osservazioni, Victoria Espinel,^[4] presidente e amministratore delegato del gruppo commerciale dell'industria del software BSA, ha sottolineato l'importanza di mantenere una struttura di trasferimento dati sicura e affidabile per sostenere e garantire la crescita continua di entrambe le economie. Nonostante l'urgenza di garantire ai consumatori un'efficace protezione della privacy, l'autrice ha anche incoraggiato "tutte le società democratiche che condividono lo stesso interesse sia per la sicurezza che per le libertà civili a pensare con coraggio ad approcci a lungo termine per la salvaguardia della sicurezza" (p. 3), sostenendo che "una certa quantità di intelligence dei segnali è necessaria in una società democratica per garantire la sicurezza e la protezione" (p. 10).

Il Vice Segretario del Dipartimento del Commercio per i Servizi dell'Amministrazione del Commercio Internazionale, James Sullivan,^[5] ha spiegato di aver partecipato a una serie di discussioni multilaterali con funzionari dell'UE, incentrate sulla sostituzione del Privacy Shield. Egli ha ritenuto che la decisione della CGUE abbia creato "enormi incertezze per le aziende statunitensi e per l'economia transatlantica" (p2), costringendo le aziende a confrontarsi con tre scelte distinte, vale a dire: "(1) rischiare di incorrere in multe potenzialmente enormi (fino al 4% del fatturato globale totale dell'anno precedente) per aver violato il GDPR, (2) ritirarsi dal mercato europeo o (3) passare subito a un altro meccanismo di trasferimento dei dati più costoso" (p6). Ha inoltre evidenziato la questione dell'accesso ai dati da parte dei governi, sostenendo la necessità di "discussioni più ampie tra democrazie affini" per "sviluppare principi basati su pratiche comuni per affrontare il modo migliore per conciliare le esigenze di applicazione della legge e di sicurezza nazionale in materia di dati con la protezione dei diritti individuali" (p. 8). Ha affermato che tale richiesta di accesso si distingue da quella delle società non democratiche, il cui impegno nella raccolta di dati personali è volto a "sorvegliare, manipolare e controllare [i cittadini] senza riguardo per la privacy e i diritti umani" (p. 8). In chiusura, ha sottolineato l'importanza di principi condivisi come base essenziale per "preservare e promuovere un'Internet libera e aperta, abilitata dal flusso continuo di dati" (p. 8).

Considerando l'interoperabilità una priorità per l'amministrazione entrante, il commissario della Federal Trade Commission (FTC), Noah Joshua Phillips,^[6] ha analogamente invitato le democrazie liberali a unirsi, non a dividersi, nella ricerca di un percorso da seguire dopo la sentenza Schrems II. Egli ha affermato che è dannoso per i Paesi "valutare il proprio approccio alla governance digitale [,] condividere e promuovere i benefici di un Internet libero e aperto" e rafforzare i legami con i regimi di governance dei dati compatibili, tracciando linee "tra gli alleati con valori condivisi [e] quelli che offrono una visione nettamente diversa" (p9).

Gli ultimi due contributi di Swire^[7] e Richards^[8] hanno offerto un resoconto accademico sulle prove presentate durante il procedimento Schrems II. Pur ritenendo il livello di protezione offerto dal Privacy Shield sostanzialmente equivalente a quello garantito all'interno dell'UE, Swire ha ritenuto necessaria una revisione delle attuali pratiche di sorveglianza statunitensi. Egli ha proposto un accordo di un anno che consentirebbe alla "nuova amministrazione di impegnarsi sistematicamente [nella creazione di] approcci duraturi per gli accordi con l'UE sui dati", fornendo al contempo un "utile incentivo per tutti gli interessati a continuare a lavorare intensamente verso una soluzione a lungo termine" (p. 10).

Richards ha invece espresso un senso di urgenza per quanto riguarda l'impegno degli Stati Uniti a riformare le leggi sulla privacy e sulla sorveglianza, che secondo lui sono diventate una "creatura di sfiducia" (p. 18), a causa della mancanza di una legislazione federale completa sulla privacy e delle rivelazioni di Snowden, che ha svelato le attività di sorveglianza della NSA nel giugno 2013. Attraverso un significativo ricorso giudiziario e affrontando le carenze dei vasti sistemi di raccolta dei segnali di intelligence del Paese, ha sostenuto che gli Stati Uniti potrebbero raggiungere l'adeguatezza della privacy e della protezione dei dati. A questo proposito, ha suggerito che la decisione Schrems II dimostra un'opportunità significativa per riguadagnare la leadership nella protezione dei consumatori, ma anche per progredire verso una maggiore cooperazione internazionale e prosperità economica: "c'è una strada da percorrere, ma richiede che riconosciamo che regole forti, chiare e capaci di creare fiducia non sono ostili agli interessi delle imprese, che dobbiamo superare il sistema fallimentare di "preavviso e scelta", che dobbiamo preservare rimedi efficaci per i consumatori e l'innovazione normativa a livello statale, e prendere seriamente in considerazione un dovere di lealtà" (p19).

Le opinioni centrali espresse dai testimoni durante l'audizione della Commissione del Senato riflettono il sostegno generale dell'incontro a favore di una legislazione completa sulla privacy dei consumatori che imponga alle aziende un obbligo di lealtà nel trattamento dei dati personali e conferisca ai singoli un diritto di azione privato. Nonostante il numero considerevole di proposte diverse presentate quel giorno, tutti gli oratori hanno riconosciuto il grave impatto che l'invalidazione del Privacy Shield ha portato con sé e la necessità di correggerne gli effetti. Una decisione di adeguatezza, tuttavia, potrebbe essere perseguita con successo solo se gli approcci alla raccolta di informazioni fossero rivisti e se la riforma della sorveglianza fosse veramente impegnata. Questi sforzi, si è detto, potrebbero richiedere la creazione di un ampio consenso con altri alleati democratici con forti regimi di privacy.

Affrontare questi problemi a livello globale è un punto di partenza fondamentale per superare l'incertezza che minaccia di interrompere i flussi di dati transatlantici, essenziali per le attività di molte aziende tecnologiche con sede negli Stati Uniti. Tuttavia, si preannuncia anche particolarmente cruciale per giungere a opzioni significative di riforma della sorveglianza che promuovano il rispetto della decisione Schrems II e offrano involontariamente protezione ai diritti dei consumatori al di là dei confini nazionali.

Risorse

1. Webcast e trascrizioni scritte disponibili all'indirizzo: https: //www.commerce.senate.gov/2020/12/the-invalidation-of-the-eu-us-privacy-shield-and-the-future-of-transatlantic-data-flows.
2. Disponibile all'indirizzo: http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=en&mode=lst&dir=&occ=first∂=1&cid=5219638.
3. Dipartimento del Commercio degli Stati Uniti, Commerce Secretary Wilbur Ross Welcomes Privacy Shield Milestone-Privacy Shield Has Reached 5,000 Active Company Participants (11 settembre 2019), https://www.trade.gov/press-release/commerce-secretary-wilbur-ross-welcomes-privacyshield-milestone-privacy-shield-has; Congressional Research Service, U.S.-EU Privacy Shield (6 agosto 2020), https://fas.org/sgp/crs/row/IF11613.pdf.
4. Trascrizione disponibile all'indirizzo: https: //www.commerce.senate.gov/services/files/3B067E7A-26FA-497A-9AC3-4DB37F140C8F.
5. Trascrizione disponibile all'indirizzo: https: //www.commerce.senate.gov/services/files/8F72849E-3625-4687-B8F5-71AFF4640D1F.
6. Trascrizione disponibile via: https: //www.commerce.senate.gov/services/files/34555EB9-4074-4A11-A4E9-A85EA3CAED56.
7. Trascrizione disponibile via: https: //www.commerce.senate.gov/services/files/6E06A2A6-A9D9-4EFA-8390-0A288B7C1DCA.
8. Trascrizione disponibile via: https: //www.commerce.senate.gov/services/files/021C9A15-B562-4818-9BDE-F103512D6ED3.

Il contenuto di questo articolo intende fornire una guida generale all'argomento. È necessario richiedere una consulenza specialistica in merito alla propria situazione specifica.