Il cloud statunitense presto illegale? Trump apre la prima falla nell’accordo sui dati UE-USA

Gli Stati Uniti monitorano utenti UE tramite Big Tech. Il TADPF, basato su garanzie fragili, rischia il collasso sotto la presidenza Trump, minacciando i trasferimenti dati.

Da quando Edward Snowden ha rivelato le pratiche di sorveglianza di massa, sappiamo che gli Stati Uniti monitorano gli utenti dell’Unione Europea raccogliendo dati personali dalle Big Tech statunitensi. Il Privacy and Civil Liberties Oversight Board (PCLOB) è l’autorità principale negli Stati Uniti per la supervisione di queste leggi. Il New York Times riporta ora che i membri democratici del PCLOB (ufficialmente “indipendente”) hanno ricevuto lettere che chiedono loro di dimettersi entro venerdì sera. Questo porterebbe il numero di membri sotto la soglia necessaria per permettere al PCLOB di operare, mettendo in dubbio l’indipendenza di tutti gli altri organismi di ricorso esecutivo negli Stati Uniti.

L’Unione Europea si è basata su questi enti e tribunali statunitensi per concludere che gli Stati Uniti offrono una protezione “adeguata” dei dati personali. Grazie al PCLOB e ad altri meccanismi, la Commissione Europea consente il trasferimento libero di dati personali europei verso gli Stati Uniti nell’ambito del cosiddetto Transatlantic Data Privacy Framework (TADPF). Migliaia di imprese, agenzie governative e scuole dell’UE si affidano a queste disposizioni. Senza il TADPF, dovrebbero interrompere immediatamente l’utilizzo di fornitori di servizi cloud statunitensi come Apple, Google, Microsoft o Amazon.

Il sistema di trasferimento dati UE-USA è un mix di normative europee e statunitensi. Dal 1995, la legge dell’UE vieta generalmente l’esportazione di dati personali al di fuori dell’UE, a meno che non sia strettamente necessario (ad esempio, per inviare un’email a un paese extra-UE) o quando il paese di destinazione fornisca una protezione “essenzialmente equivalente” ai dati personali degli europei. Tuttavia, negli Stati Uniti, le leggi sulla sorveglianza di massa sono molto permissive (ad esempio FISA702 o EO 12.333), consentendo al governo di accedere a qualsiasi dato conservato da aziende come Amazon, Meta, Microsoft, Google e altre Big Tech statunitensi senza motivo probabile o autorizzazione giudiziaria individuale. Per questo motivo, la Corte di Giustizia dell’Unione Europea ha stabilito per due volte (Schrems I e Schrems II) che le leggi statunitensi non sono “essenzialmente equivalenti”. Nonostante ciò, Ursula von der Leyen ha insistito per approvare un terzo accordo UE-USA, denominato Transatlantic Data Privacy Framework (TADPF).

Il TADPF si basa su fondamenta fragili. Il 10 luglio 2023, la Commissione Europea ha emesso la Decisione di Esecuzione (UE) 2023/1795, formalizzando il TADPF. Questo ha consentito a qualsiasi azienda europea di trasferire liberamente dati a fornitori statunitensi, nonostante le leggi sulla sorveglianza degli USA. La Commissione Europea si è basata su garanzie esecutive (molto discutibili), incluso il PCLOB, per sostenere che gli Stati Uniti offrono una protezione “essenzialmente equivalente”. Tuttavia, questi elementi non sono codificati nelle leggi statunitensi perché non c’è stata una maggioranza al Congresso per approvarli. Al contrario, l’UE ha fatto affidamento su Ordini Esecutivi, lettere del governo statunitense e buona volontà diplomatica. È stato a lungo criticato il fatto che il prossimo presidente degli Stati Uniti potrebbe eliminare queste protezioni con un semplice tratto di penna. Questo scenario ora si profila all’orizzonte. Nella sua decisione, la Commissione Europea ha citato il PCLOB ben 31 volte per spiegare perché gli Stati Uniti dispongano di protezioni “essenzialmente equivalenti”. Allo stesso tempo, il PCLOB è solo un meccanismo di supervisione, oltre ai meccanismi di ricorso. Se il PCLOB cessasse di operare, molti altri elementi crollerebbero gradualmente, ma si può sostenere che brevi vacanze nella sua operatività non distruggerebbero il TADPF immediatamente.

Max Schrems: “Questo accordo è sempre stato costruito su basi fragili, ma la lobby imprenditoriale europea e la Commissione Europea lo hanno voluto lo stesso. Invece di limitazioni legali stabili, l’UE ha accettato promesse esecutive che possono essere annullate in un attimo. Ora che le prime onde della presidenza Trump colpiscono questo accordo, potrebbe dissolversi in pochi istanti e lasciare molte imprese europee in un limbo legale. Il PCLOB è solo un pezzo del puzzle e, finché è temporaneamente inattivo, si può sostenere che l’accordo non è peggiore di prima. Tuttavia, la direzione presa già nella prima settimana della presidenza Trump non lascia ben sperare.”

Indipendenza degli organismi esecutivi messa in discussione. A differenza delle Autorità di Protezione dei Dati nell’UE, la maggior parte degli organismi di supervisione negli Stati Uniti sono creature dell’esecutivo e quindi non automaticamente indipendenti. L’indipendenza è spesso concessa solo dal Presidente, ma può essere revocata o annullata in qualsiasi momento. Molti di questi concetti giuridici peculiari sono il risultato dell’incapacità strutturale di approvare vere leggi negli Stati Uniti. Intere aree legali sono regolate semplicemente da ordini presidenziali. Il fatto che il presidente statunitense stia ora tentando di rimuovere direttamente le persone solleva dubbi sul fatto che l’idea di organismi esecutivi (presumibilmente) “indipendenti” fosse mai concretamente difendibile. Molti altri elementi del TADPF, come il “Data Protection Review Court”, hanno protezioni legali ancora più deboli.

Max Schrems: “Ci sono state lunghe discussioni sul funzionamento e sull’indipendenza di questi meccanismi di supervisione. Purtroppo, sembra che non riescano nemmeno a superare la prova dei primi giorni della presidenza Trump. Questa è la differenza tra solide protezioni legali e mero pensiero illusorio: la Commissione Europea si è basata unicamente su un pensiero illusorio.”

41 giorni al prossimo punto critico. In uno dei primi Ordini Esecutivi firmati lunedì, Trump ha stabilito che tutte le decisioni di sicurezza nazionale prese da Biden (incluse quelle rilevanti per i trasferimenti UE-USA) dovranno essere riesaminate e potenzialmente annullate entro 45 giorni. Questo significa che ulteriori elementi su cui si basa il TADPF potrebbero essere eliminati nel giro di poche settimane. Poiché l’intero accordo si fonda sulle decisioni esecutive di Biden, Trump potrebbe annullare tutti gli elementi chiave con una sola firma, rendendo immediatamente illegali i trasferimenti di dati tra l’UE e gli Stati Uniti.

Max Schrems: “Non riesco a immaginare che un Ordine Esecutivo di Biden, imposto agli Stati Uniti dall’UE e che regola lo spionaggio statunitense all’estero, possa sopravvivere alla logica di Trump. Il problema è che non solo le Big Tech statunitensi, ma soprattutto le normali imprese europee si affidano a questo sistema di documenti instabili per sostenere che l’uso di sistemi cloud statunitensi sia legale nell’UE.”

La Commissione ha spinto le imprese europee verso un precipizio. Nonostante i fatti, le critiche del Parlamento Europeo e delle Autorità di Protezione dei Dati dell’UE, la Commissione Europea ha costantemente sostenuto che il TADPF fosse solido e affidabile. La lobby imprenditoriale europea ha spinto per un accordo, a prescindere dalla sua instabilità o fragilità. Allo stesso modo, le Big Tech statunitensi volevano mantenere la loro presenza sul mercato europeo senza limitazioni tecniche riguardo all’accesso del governo statunitense. Ora, tutti, dalle grandi banche agli interi sistemi scolastici nazionali, fino a molte piccole imprese, potrebbero trovarsi improvvisamente in una situazione legale in cui l’uso di prodotti cloud statunitensi sarà presto illegale.

I trasferimenti di dati UE-USA sono per ora legali – ma è il momento di prepararsi. Qualsiasi decisione dell’amministrazione statunitense non renderà immediatamente illegali i trasferimenti di dati verso gli USA, poiché la decisione della Commissione Europea resta valida finché non viene formalmente annullata. Quindi, anche se le basi materiali dell’accordo diventano insostenibili, la decisione rimane formalmente in vigore fino a una sua revoca. Tuttavia, se gli elementi chiave su cui l’UE ha fatto affidamento diventano disfunzionali, l’UE sarà costretta ad annullare l’accordo.

Max Schrems: “Anche se gli argomenti a favore dell’accordo UE-USA sembrano sgretolarsi, le aziende possono fare affidamento sull’accordo finché non viene formalmente annullato. Tuttavia, date le evoluzioni negli Stati Uniti, è più cruciale che mai per qualsiasi impresa o organizzazione avere un piano di contingenza con un ‘host in Europa’.”

La Commissione Europea in una posizione difficile. La Commissione Europea si è trovata in una posizione difficile, non solo dal punto di vista della credibilità, ma anche da quello diplomatico. Se ora reagisce rapidamente e annulla il TADPF, l’oligarchia tecnologica statunitense accuserà l’UE di “giocare contro” le Big Tech americane, e l’amministrazione Trump potrebbe sfruttare la situazione per avviare un primo grande scontro con l’UE. Tuttavia, non agire e non avvertire ufficialmente le imprese, gli enti pubblici e le altre organizzazioni europee che trasferiscono dati negli Stati Uniti sembra altrettanto problematico, dato che il futuro del TADPF potrebbe essere estremamente breve.

La versione europea del dibattito statunitense su TikTok? Mentre gli Stati Uniti hanno a lungo sminuito i timori europei sul trasferimento dei dati personali verso gli USA e il loro utilizzo per la sorveglianza di massa contro l’UE, gli Stati Uniti si sono improvvisamente allarmati quando è stata la Cina, attraverso TikTok, a raccogliere dati statunitensi. Sebbene una proibizione o un’acquisizione forzata delle Big Tech statunitensi in Europa sia legalmente impossibile, l’obbligo di mantenere i dati UE fuori dalla portata del governo statunitense diventerebbe lo standard legale nell’UE una volta che la Commissione Europea annullasse l’accordo sui dati UE-USA. Questo avrebbe enormi ripercussioni sulle Big Tech statunitensi in Europa.

https://noyb.eu/en/us-cloud-soon-illegal-trump-punches-first-hole-eu-us-data-deal

Torna in alto