BIDEN EXECUTIVE ORDER

Un executive order del Presidente Usa per il nuovo Privacy Shield

Tempo di lettura stimato: 4 minuti

Il Fatto

Venerdì 7 ottobre il Presidente degli Stati Uniti, Joe Biden, ha firmato un executive order “on Enhancing Safeguards For United States Signals” Intelligence Activities (per rafforzare le garanzie nella conduzione delle attività di intelligence).

L’ordine esecutivo segue l’annuncio bilaterale con cui, nel marzo scorso, lo stesso Presidente americano e la Presidente della Commissione Europea, Von Der Leyen, avevano annunciato il raggiungimento di un accordo di principio volto a superare le criticità segnalate dalla Corte di Giustizia Europea nella sentenza di annullamento del Privacy Shield.

Per i profani della materia, il Privacy Shield era lo scudo normativo che legittimava i trasferimenti di dati personali tra Unione Europea e Stati Uniti D’America, previa adesione delle aziende che si conformavano alle misure tecniche ed organizzative richieste.

Il regime dello scudo UE-USA è stato dichiarato invalido dalla Corte di Giustizia Europea il 16 luglio 2020 con la sentenza Schrems II (C-311/18).

Cos’è un executive Order

Un ordine esecutivo è una direttiva emessa dal Presidente degli Stati Uniti. Ha forza di legge, ma non può essere modificata dal Congresso. Può invece essere soggetta al sindacato dell’Autorità Giudiziaria. Solo il Presidente degli Stati Uniti può modificare o annullare un ordine esecutivo.

I principi del nuovo esecutive order

La prima parte dell’executive order emesso dall’amministrazione Biden è dedicata ai principi privacy su cui dovrebbe ispirarsi l’azione delle Agenzie di intelligence.

A tal proposito si afferma che “Non è un obiettivo legittimo raccogliere informazioni commerciali private estere o segreti commerciali per offrire un vantaggio competitivo alle società statunitensi e ai settori commerciali degli Stati Uniti a livello commerciale. La raccolta di tali informazioni è autorizzata solo per proteggere la sicurezza nazionale degli Stati Uniti o dei suoi alleati o partner”

Segue poi l’enunciazione di principi che ritroviamo anche nel GDPR, vale a dire il principio di necessità e proporzionalità.

Tuttavia questi basilari principi non sono assoluti, ma possono cedere rispetto ad altre “priorità più prioritarie della privacy“.

La raccolta mirata deve essere prioritaria.  La raccolta in blocco di segnali di intelligence è autorizzata solo sulla base di una determinazione — da un elemento della Comunità di intelligence o attraverso un comitato di interattività composto in tutto o in parte dal capi di elementi della comunità di intelligence, i capi dei dipartimenti che contengono tali elementi, o i loro designati — che le informazioni necessarie per far avanzare una priorità di intelligence convalidata non possono ragionevolmente essere ottenute mediante raccolta mirata. 

Quel che segue è una sorta di ossimoro:

“Quando si ritiene necessario impegnarsi nella raccolta in blocco al fine di far avanzare una priorità di intelligence convalidata, l’elemento della Comunità di intelligence applica metodi e misure tecniche ragionevoli al fine di limitare i dati raccolti solo a quanto necessario per far avanzare una priorità di intelligence convalidata, minimizzando la raccolta di informazioni non pertinenti”.

Per dare maggior concretezza, vengono poi indicate le fattispecie in cui si può andare a strascico, ci si passi l’espressione. Qui l’avverbio “solo” è un nonsense alla luce della varietà di situazione di seguito declinate.

“Ciascun elemento della comunità di intelligence che raccoglie informazioni sui segnali attraverso la raccolta in blocco utilizza tali informazioni solo per perseguire uno o più dei seguenti obiettivi:

  • (1) protezione contro il terrorismo,
  • (2) protezione contro spionaggio, sabotaggio, assassinio o altre attività di intelligence condotte da, per conto o con assistenza di un governo straniero, organizzazione straniera o una persona straniera
  • (3) protezione contro le minacce derivanti dallo sviluppo, dal possesso o dalla proliferazione di armi di distruzione di massa o tecnologie correlate e minacce condotte da, per conto o con l’assistenza di un governo straniero, un’organizzazione straniera o una persona straniera;
  • (4) protezione contro le minacce alla sicurezza informatica
  • (5) protezione contro le minacce criminali transnazionali, compreso il finanziamento illecito e evasione dellesanzioni relative a uno o più degli altri obiettivi individuati nella sottosezione”

Strumenti per ricorrere contro le violazioni della privacy perpetrate dalle agenzie di intelligence

La seconda parte dell’executive order è dedicata alla controversa questione dei rimedi esperibili in caso di una illegittima violazione della privacy.

Si prevedono a tal proposito due livelli di scrutinio:

ricorso di primo grado: è una sorta di ricorso amministrativo la cui procedura dovrà essere definita dal Direttore Nazionale dell’Intelligence e dal Procuratore Generale, cioè dal Ministro della Giustizia del Governo Biden.

Protagonista di questa prima fase è il CLPO (Civil Law Protection Officer) delegato ad investigare in caso di ricorso.

Così nel testo in commento: “Under the first layer, the Civil Liberties Protection Officer in the Office of the Director of National Intelligence (CLPO) will conduct an initial investigation of qualifying complaints received to determine whether the E.O.’s enhanced safeguards or other applicable U.S. law were violated and, if so, to determine the appropriate remediation”

Il  CLPO, peraltro,  dovrà operare “in a manner that protects classified or otherwise privileged or protected information and shall ensure, at a minimum, that for each qualifying complaint the CLPO shall: (giusto per essere espliciti): (i) taking into account both
relevant national security interests and applicable privacy protections; (ii) giving appropriate deference to any relevant determinations made by national security officials”.

All’esito di questa indagine a dir poco in salita, il CLPO, non si sa in che modo, potrà indicare dei rimedi all’Agenzia di Intelligence, nel caso vi sia stata una violazione.

Contro le decisioni di questa Autorità nominata dal Procuratore Generale, potrà essere presentato una sorta di reclamo presso un:

Tribunale di Secondo Grado: che di “Court” ha ben poco, posto che tutti gli elementi sono di nomina governativa nell’ambito della comunità di esperti (la task force Italiana per gestire il problema Covid docet!).

Anche in questo caso le regole del gioco, cioè la scrittura della procedura, viene delegata al Procuratore Generale, cioè al Ministro della Giustizia, che, non va dimenticato, è il Superiore Gerarchico delle Agenzie di Intelligence.

“The Attorney General is authorized to and shall establish a process to review determinations made by the CLPO under subsection (c)(i) of this section.  In exercising that authority, the Attorney General shall, within 60 days of the date of this order, promulgate regulations establishing a Data Protection Review Court to exercise the Attorney General’s authority to review such determinations.”

Conclusioni finali

– Gli Usa non rinunciano alla sorveglianza di massa. La sorveglianza “in blocco” usando l’espressione dell’executive order, rimane e  può essere autorizzata dal Direttore Nazionale per l’intelligence in presenza di una delle molteplici ragioni previste nell’ordine presidenziale.
– Gli Usa, difformemente da quanto richiederebbe la Corte di Giustizia Europea, non istituiscono un’Autorità Indipendente presso la quale proporre i ricorsi in caso di violazione dei dati personali. Il meccanismo di nomina, previsto nell’Ordine Esecutivo non garantisce, infatti, indipendenza ed imparzialità perché il controllante viene nominato dal controllato.

Nondimeno non abbiamo alcun dubbio che questa normativa di mera cosmesi sarà considerata sufficiente dalla Commissione Europea per siglare un nuovo Privacy Shield.

Altrettanto certo è che anche tale accordo sarà impugnato dall’avvocato Schrems. E se la giurisdizione avesse una sua coerenza intrinseca, cosa su cui siamo moderatamente scettici, altrettanto sicura dovrebbe essere la bocciatura del nuovo accordo da parte della Corte di Giustizia Europea.



Primo contatto
Chiamaci a questo numero: 0422-235703.