Cloud USA presto illegale? Trump fa il primo buco nell’accordo sui dati UE-USA.

Il sistema di trasferimento dei dati UE-USA – un mix di leggi UE e USA. In generale, dal 1995 la legislazione dell’UE vieta l’esportazione di dati personali al di fuori dell’UE, a meno che non vi sia un’assoluta necessità (ad esempio, l’invio di un’e-mail a un paese extra-UE) o che il paese extra-UE fornisca una protezione “sostanzialmente equivalente” dei dati personali degli europei. Gli Stati Uniti, invece, dispongono di leggi molto severe sulla sorveglianza di massa (ad esempio la FISA702 o la EO 12.333), che consentono al governo statunitense di accedere a tutti i dati archiviati presso Amazon, Meta, Microsoft, Google e qualsiasi altra azienda statunitense di Big Tech senza una causa probabile o un’approvazione giudiziaria individuale. Pertanto, la Corte di giustizia europea ha stabilito per due volte (Schrems I e Schrems II) che la legge statunitense non è “sostanzialmente equivalente”. Tuttavia, Ursula von der Leyen ha insistito per far passare un terzo accordo UE-USA, chiamato “Quadro transatlantico sulla privacy dei dati” (TADPF).

Il TADPF è stato costruito sulla sabbia. Il 10.7.2023 la Commissione europea ha emanato la Decisione di esecuzione (UE) 2023/1795, approvando formalmente il TADPF. Ciò ha permesso a qualsiasi azienda dell’UE di trasferire liberamente i dati ai fornitori statunitensi, nonostante le leggi sulla sorveglianza degli Stati Uniti. La Commissione europea si è basata su garanzie esecutive (molto discutibili), tra cui il PCLOB, per ritenere che gli Stati Uniti siano “sostanzialmente equivalenti”. Tuttavia, questi elementi non sono presenti negli statuti e nel diritto codificato degli Stati Uniti, perché non c’era una maggioranza nel Congresso degli Stati Uniti per approvare tali leggi. L’UE si è invece affidata agli ordini esecutivi, alle lettere del governo statunitense e alla buona volontà diplomatica. Si è a lungo criticato il fatto che il prossimo presidente degli Stati Uniti possa eliminare queste protezioni con un colpo di penna. Questo scenario è ora all’orizzonte. Nella sua decisione, la Commissione europea ha citato il PCLOB ben 31 volte per spiegare perché gli Stati Uniti hanno protezioni “sostanzialmente equivalenti”. Allo stesso tempo, il PCLOB è solo un meccanismo di supervisione, oltre ai meccanismi di ricorso. Se il PCLOB non è operativo, molti altri elementi imploderanno gradualmente, ma si sostiene che i posti vacanti a breve termine non uccideranno la TADPF all’istante.

Max Schrems:“Questo accordo è sempre stato costruito sulla sabbia, ma la lobby imprenditoriale dell’UE e la Commissione europea lo hanno voluto comunque. Invece di una limitazione legale stabile, l’UE ha accettato promesse esecutive che possono essere annullate in pochi secondi. Ora che le prime onde di Trump si sono abbattute su questo accordo, esso potrebbe presto dissolversi in pochi secondi e portare molte imprese dell’UE in un limbo legale. Il PCLOB in sé è solo un pezzo del puzzle e finché non funziona solo temporaneamente, si può sostenere che l’accordo non sia peggiore di prima. Tuttavia, la direzione che sta prendendo la questione già nella prima settimana della presidenza Trump non promette nulla di buono”

L’indipendenza degli organi esecutivi è messa in discussione. A parte le autorità per la protezione dei dati nell’UE, la maggior parte degli organi di controllo statunitensi sono creature dell’esecutivo e quindi non sono automaticamente indipendenti. Spesso l’indipendenza è solo concessa dal Presidente, ma può essere revocata o annullata in qualsiasi momento. Molti di questi strani concetti legali sono il risultato dell’incapacità strutturale di approvare leggi vere e proprie negli Stati Uniti. Invece, intere aree legali sono semplicemente regolate da ordini presidenziali. Il fatto che il Presidente degli Stati Uniti stia ora tentando di rimuovere semplicemente delle persone, mette in dubbio che l’idea di organi esecutivi (presumibilmente) “indipendenti” fosse in qualche modo argomentabile dal punto di vista fattuale fin dall’inizio. Molti altri elementi della TADPF, come il “Tribunale per la revisione della protezione dei dati”, hanno protezioni legali ancora più deboli.

Max Schrems:“Si è discusso a lungo sul funzionamento e sull’indipendenza di questi meccanismi di supervisione. Purtroppo, sembra che potrebbero non superare la prova dei primi giorni di presidenza Trump. Questa è la differenza tra solide protezioni legali e illusioni: la Commissione europea si è affidata esclusivamente a queste ultime“

41 giorni per il prossimo punto critico. In uno dei primi ordini esecutivi firmati lunedì, Trump ha stabilito che tutte le decisioni di Biden in materia di sicurezza nazionale (comprese le decisioni pertinenti su cui si basano i trasferimenti UE-USA) dovranno essere riesaminate e potenzialmente eliminate entro 45 giorni. Ciò significa che ulteriori elementi su cui si basava il TADPF potrebbero essere eliminati nel giro di poche settimane. Dato che l’intero accordo si basa su decisioni esecutive di Biden, Trump potrebbe eliminare tutti gli elementi chiave dell’accordo con una sola firma, portando a trasferimenti di dati immediatamente illegali tra l’UE e gli USA.

Max Schrems:“Non vedo come un ordine esecutivo di Biden, che è stato imposto agli Stati Uniti dall’UE e che regolamenta lo spionaggio statunitense all’estero, possa sopravvivere nella logica di Trump. Il problema è che non solo le Big Tech statunitensi, ma soprattutto le normali aziende dell’UE fanno affidamento su questo sistema di documenti instabili per sostenere che l’uso dei sistemi cloud statunitensi è legale nell’UE”

La Commissione ha manovrato le imprese dell’UE verso un vantaggio. Nonostante tutti i fatti, le critiche del Parlamento europeo e delle autorità di protezione dei dati dell’UE, la Commissione europea ha sempre sostenuto che la TADPF è solida e valida. La lobby imprenditoriale dell’UE ha spinto per un accordo, non importa quanto instabile o stravagante. Allo stesso modo, le Big Tech statunitensi volevano rimanere sul mercato dell’UE senza alcuna limitazione tecnica in relazione all’accesso del governo statunitense. Ora tutti, dalle grandi banche agli interi sistemi scolastici nazionali, fino a molte piccole imprese, potrebbero trovarsi in una situazione legale in cui l’uso di prodotti cloud statunitensi sarà presto illegale.

Per ora i trasferimenti di dati tra UE e USA sono legali, ma preparatevi. Qualsiasi decisione dell’amministrazione statunitense non renderà immediatamente illegali i trasferimenti di dati dagli Stati Uniti, perché la decisione della Commissione europea è generalmente legale finché è in vigore e non viene annullata. Quindi, anche se le conclusioni materiali diventano errate, la decisione è ancora formalmente valida finché non viene annullata. Tuttavia, se gli elementi chiave su cui l’UE ha fatto affidamento si rivelano disfunzionali, l’UE dovrà annullare l’accordo.

Max Schrems: “Anche se le argomentazioni a favore dell’accordo UE-USA sembrano crollare, le aziende possono fare affidamento sull’accordo finché non viene formalmente annullato. Tuttavia, visti gli sviluppi negli Stati Uniti, è più che mai cruciale per qualsiasi azienda o altra organizzazione avere un piano di emergenza ‘host in Europe'”

La Commissione europea in difficoltà. Anche la Commissione europea si è trovata in una situazione difficile non solo dal punto di vista della credibilità, ma anche da quello diplomatico. Se ora reagisce rapidamente e annulla il TADPF, l’oligarchia tecnologica statunitense griderà che l’UE starebbe “fregando” le Big Tech statunitensi e l’amministrazione Trump potrebbe prendere questo come un motivo per iniziare una prima grande battaglia con l’UE. Tuttavia, non agire e avvertire ufficialmente le imprese, gli enti pubblici e le altre organizzazioni dell’UE che inviano dati agli Stati Uniti sembra problematico, perché il futuro del TADPF potrebbe essere molto breve.

Versione UE del dibattito statunitense su TikTok? Mentre gli Stati Uniti hanno a lungo sminuito i timori europei circa la possibilità che i dati personali vengano trasferiti negli Stati Uniti e utilizzati per la sorveglianza di massa contro l’UE, gli Stati Uniti hanno improvvisamente invertito la rotta dopo che i propri dati sono stati aggregati da TikTok dalla Cina. Sebbene un divieto o un’acquisizione obbligatoria delle Big Tech statunitensi in Europa sia giuridicamente impossibile, l’obbligo di tenere i dati dell’UE al di fuori delle mani del governo statunitense sarebbe l’impostazione predefinita del diritto dell’UE, una volta che la Commissione europea avrà annullato l’accordo sui dati UE-USA. Ciò avrebbe effetti importanti sulle Big Tech statunitensi in Europa.