Il 09.12.2020,¹ il Comitato del Senato su Commercio, Scienza e Trasporti ha condotto un'audizione, discutendo la necessità di una legislazione federale completa sulla privacy degli Stati Uniti, nonché il futuro dei flussi di dati transatlantici alla luce dell'invalidazione dello Scudo per la privacy UE/USA da parte della Corte di giustizia dell'Unione europea (CGUE) il 16.07.2020 (caso C-311/18, Schrems II).² Le discussioni si sono incentrate sulle considerazioni politiche che hanno portato la CJEU a concludere che il quadro allora esistente non era riuscito a fornire standard di protezione equivalenti come richiesto dal diritto dell'UE. Inoltre, l'udienza è stata caratterizzata da interventi di esperti sui passi pratici da seguire per stabilire un quadro successivo per il trasferimento dei dati.

La riunione ha rafforzato l'urgenza di una rapida sostituzione legislativa che permetta di continuare le operazioni transatlantiche. È stato comunemente concordato che un tale sviluppo sarebbe particolarmente cruciale per le piccole imprese, che costituiscono oltre il 70% delle aziende certificate Privacy Shield.³ Pur riconoscendo la necessità di un consenso internazionale, l'audizione non ha incluso esperti europei né rappresentanti della società civile. Tra gli oratori, tuttavia, c'erano rappresentanti della Federal Trade Commission (FTC) degli Stati Uniti, il Dipartimento del Commercio (DoC) degli Stati Uniti, l'industria del software (Victoria Espinel), nonché il Koch Distinguished Professor in legge, Neil Richards e Peter Swire, professore di diritto ed etica presso il Georgia Tech Scheller College of Business, e direttore associato per la politica del Georgia Tech Institute for Information Security and Privacy.

Durante il suo discorso di apertura, il presidente della commissione, Roger Wicker, ha espresso il suo sostegno per un quadro transatlantico di trasferimento dei dati "durevole e duraturo", ritenendolo un "ordine alto ma essenziale". Basandosi su una stima secondo la quale "il commercio abilitato dal digitale ammontava a $800 e $1.500 miliardi a livello globale nel 2019 [mentre si prevedeva] di aumentare il PIL globale di oltre $3 trilioni" nel 2020, ha alluso al significativo beneficio economico che il commercio internazionale fornisce alle imprese nazionali e internazionali. Durante le sue osservazioni, il signor Wicker ha sostenuto che il precedente Privacy Shield ha stabilito un meccanismo giuridico che era "destinato a garantire che oltre 5.000 piccole/medie imprese, che abbracciano diversi settori economici sia negli Stati Uniti che nell'UE potrebbero continuare a impegnarsi nel commercio digitale transatlantico senza interruzioni". Evidenziando alcuni dei requisiti chiave stipulati nell'ambito del Privacy Shield (ad esempio gli obblighi di notifica posti alle organizzazioni partecipanti, la nomina di mediatori per consentire un'adeguata indagine dei reclami, ecc), ha ritenuto che i diritti di ricorso esistenti negli Stati Uniti siano adeguati e che il suo regime di sorveglianza sia paragonabile a quello di altri Stati membri dell'UE. Tuttavia, riconoscendo la comunanza di valori democratici condivisi tra i continenti, Wicker ha rafforzato il suo impegno per lo sviluppo di norme significative per la protezione dei dati dei consumatori che "sosterrebbero il libero flusso di informazioni attraverso l'Atlantico e incoraggerebbero una continua partnership economica e strategica" con l'Europa.

Il Ranking Member, Maria Cantwell, ha sottolineato l'importanza di una maggiore trasparenza sulle decisioni rese dalla Foreign Intelligence Surveillance Court (FISC). Con il commercio digitale tra gli Stati Uniti e l'Europa valutato a più di 300 miliardi di dollari all'anno, ha auspicato una risoluzione che non solo promuova la fiducia e ripristini una maggiore cooperazione di sorveglianza tra le entità, ma che si astenga anche da ulteriori deviazioni "verso il protezionismo nazionale".

Nelle sue osservazioni, la signora Victoria Espinel,⁴ Presidente e amministratore delegato del gruppo commerciale dell'industria del software BSA, ha sottolineato l'importanza di mantenere una struttura di trasferimento dati sicura e affidabile per sostenere e garantire la crescita continua di entrambe le economie. Nonostante l'urgenza di offrire un'efficace protezione della privacy ai consumatori, ha anche incoraggiato "tutte le società democratiche simili, interessate sia alla sicurezza che alle libertà civili, a pensare coraggiosamente ad approcci a lungo termine per salvaguardare la sicurezza" (p. 3), sostenendo che "una certa quantità di intelligence dei segnali è necessaria in una società democratica per garantire la sicurezza" (p. 10).

Il vice segretario del Dipartimento del Commercio per i servizi dell'amministrazione del commercio internazionale, James Sullivan,⁵ ha spiegato di aver partecipato a una serie di discussioni multilaterali con i funzionari dell'UE, concentrandosi su una sostituzione del Privacy Shield. Egli ha considerato che la decisione della CGUE ha creato "enormi incertezze per le aziende statunitensi e l'economia transatlantica" (p2) che ha costretto le aziende ad affrontare tre scelte distinte, vale a dire: '(1) rischiare di affrontare multe potenzialmente enormi (fino al 4% del fatturato globale totale dell'anno precedente) per la violazione del GDPR, (2) ritirarsi dal mercato europeo, o (3) passare subito a un altro meccanismo di trasferimento dei dati più costoso' (p6). Ha anche individuato la questione dell'accesso del governo ai dati, sostenendo a favore di "discussioni più ampie tra democrazie affini" per "sviluppare principi basati su pratiche comuni per affrontare il modo migliore per conciliare l'applicazione della legge e le esigenze di sicurezza nazionale per i dati con la protezione dei diritti individuali" (p8). Ha affermato che tale richiesta di accesso è, comunque, distinguibile da quella richiesta dalle società non democratiche, il cui impegno nella raccolta di dati personali è inteso "a sorvegliare, manipolare e controllare [i cittadini] senza riguardo per la privacy personale e i diritti umani" (p. 8). In chiusura, ha sottolineato l'importanza dei principi condivisi come base essenziale per "preservare e promuovere un Internet libero e aperto abilitato dal flusso continuo di dati" (p. 8).

Considerando l'interoperabilità una priorità per l'amministrazione entrante, il commissario della Federal Trade Commission (FTC), Noah Joshua Phillips,⁶ Allo stesso modo ha invitato le democrazie liberali a unirsi, non a dividersi nella ricerca di una strada da seguire dopo il Schrems II sentenza. Ha affermato che è dannoso per i paesi 'valutare il loro approccio alla governance digitale [,] condividere e promuovere i benefici di un Internet libero e aperto" e rafforzare i legami con i regimi di governance dei dati compatibili tracciando linee "tra gli alleati con valori condivisi [e] quelli che offrono una visione nettamente diversa" (p9).

I due contributi finali di Mr. Swire⁷ e Mr. Richards,⁸ ha offerto un resoconto accademico sulle prove presentate durante il Schrems II procedimento. Pur considerando il livello di protezione offerto dal Privacy Shield essenzialmente equivalente a quello garantito all'interno dell'UE, Swire ha ritenuto necessaria una revisione delle attuali pratiche di sorveglianza degli Stati Uniti. Ha proposto un accordo di un anno che permetterebbe alla "nuova amministrazione di impegnarsi sistematicamente [nella creazione di] approcci durevoli per accordi con l'UE sui dati", fornendo al contempo un "utile incentivo per tutte le parti interessate a continuare a lavorare intensamente verso una soluzione a lungo termine" (p10).

Richards, al contrario, ha espresso un senso di urgenza per quanto riguarda l'impegno degli Stati Uniti per la riforma della legge sulla privacy e la sorveglianza, che secondo lui era diventata una "creatura della sfiducia" (p18), radicata nella mancanza di una legislazione federale completa sulla privacy e le rivelazioni di Snowden che avevano rivelato le attività di sorveglianza della NSA nel giugno 2013. Attraverso un ricorso giudiziario significativo e affrontando le carenze dei vasti sistemi di raccolta di segnali-intelligence del paese, ha sostenuto che gli Stati Uniti potrebbero raggiungere l'adeguatezza della privacy e della protezione dei dati. A questo proposito, ha suggerito che il Schrems II la decisione dimostra un'opportunità significativa per riconquistare la leadership nella protezione dei consumatori, ma anche per avanzare verso una maggiore cooperazione internazionale e prosperità economica: 'c'è un modo per andare avanti, ma ci richiede di riconoscere che regole forti, chiare, che creano fiducia non sono ostili agli interessi del business, che abbiamo bisogno di spingere oltre il sistema fallito di "avviso e scelta", che abbiamo bisogno di preservare rimedi efficaci per i consumatori e l'innovazione normativa a livello statale, e considerare seriamente un dovere di lealtà" (p19).

I punti di vista centrali trasmessi dai testimoni durante l'udienza della commissione del Senato riflettono il sostegno generale dell'incontro per una legislazione completa sulla privacy dei consumatori che porrebbe un dovere di lealtà sulle aziende nel loro trattamento dei dati personali e doterebbe gli individui di un diritto privato di azione. Nonostante il considerevole numero di suggerimenti diversi introdotti quel giorno, tutti gli oratori hanno comunemente riconosciuto il grave impatto che l'invalidazione del Privacy Shield ha portato con sé e la necessità di correggere il suo effetto. Una decisione di adeguatezza potrebbe, tuttavia, essere perseguita con successo solo se gli approcci di raccolta dell'intelligence fossero rivisti e la riforma della sorveglianza veramente impegnata. Questi sforzi, è stato sostenuto, potrebbero richiedere un'ampia costruzione del consenso con altri alleati democratici con forti regimi di privacy.

Affrontare queste questioni a livello globale, è un punto di partenza critico per superare l'incertezza che minaccia di interrompere i flussi di dati transatlantici che sono essenziali per le operazioni di molte aziende tecnologiche con sede negli Stati Uniti. Tuttavia, promette anche di essere particolarmente cruciale per derivare a opzioni significative di riforma della sorveglianza che promuoverebbero il rispetto della Schrems II decisione e inavvertitamente offrono di proteggere i diritti dei consumatori oltre i confini del paese.

Note a piè di pagina

1 Webcast e trascrizioni scritte disponibili tramite: https://www.commerce.senate.gov/2020/12/the-invalidation-of-the-eu-us-privacy-shield-and-the-future-of-transatlantic-data-flows.

2 Disponibile tramite: http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=en&mode=lst&dir=&occ=first∂=1&cid=5219638.

3 US Department of Commerce Department, Commerce Secretary Wilbur Ross Welcomes Privacy Shield Milestone-Privacy Shield Has Reached 5,000 Active Company Participants (Sept. 11, 2019), https://www.trade.gov/press-release/commerce-secretary-wilbur-ross-welcomes-privacyshield-milestone-privacy-shield-has ; Congressional Research Service, U.S.-EU Privacy Shield (6 agosto 2020), https://fas.org/sgp/crs/row/IF11613.pdf

4 Trascrizione disponibile via: https://www.commerce.senate.gov/services/files/3B067E7A-26FA-497A-9AC3-4DB37F140C8F.

5 Trascrizione disponibile via: https://www.commerce.senate.gov/services/files/8F72849E-3625-4687-B8F5-71AFF4640D1F.

6 Trascrizione disponibile via: https://www.commerce.senate.gov/services/files/34555EB9-4074-4A11-A4E9-A85EA3CAED56.

7 Trascrizione disponibile via: https://www.commerce.senate.gov/services/files/6E06A2A6-A9D9-4EFA-8390-0A288B7C1DCA.

8 Trascrizione disponibile via: https://www.commerce.senate.gov/services/files/021C9A15-B562-4818-9BDE-F103512D6ED3.

Il contenuto di questo articolo intende fornire una guida generale all'argomento. Si consiglia di richiedere una consulenza specialistica sulle vostre circostanze specifiche.