Non importa cosa si dica, il “Privacy Shield” è solo fumo negli occhi.
Non esistono i presupposti per proteggere i dati personali uniformandosi a quanto espresso dalla Corte di Giustizia dell’Unione Europea nell’ottobre 2015 con la sentenza “contro Facebook” (C-362/14, 6 ottobre 2015).
Molti hanno pensato che il Judicial Redress Act (in seguito JRA) avrebbe esteso prerogative dei cittadini americani ai “cittadini dei paesi alleati” (creando un fondamentale presupposto di “adeguatezza”).
Probabilmente la prima versione del JRA, quella approvata dalla Camera dei Rappresentanti nel novembre 2015, è stata redatta in quest’ottica.
Tuttavia, il testo firmato la scorsa settimana da Obama non è nemmeno “il cugino della versione originale”. È un atto che contiene al suo interno due importanti “caveat”.
Le affermazioni della Jourova non aiutano a valutare correttamente il peso del Judicial Redress Act.
Ma per capire meglio il punto di vista di chi scrive è consigliabile analizzare le parti del testo a cui si fa riferimento.
Il diavolo è nei dettagli …
Se analizziamo il paragrafo intitolato “Designazione di paese tutelato”, il lettore potrà probabilmente comprendere i miei dubbi.
Designation of covered country
(1)In general
The Attorney General may […] designate a foreign country or regional economic integration organization, or member country of such organization, as a covered country for purposes of this section if—
(A)
(i)the country or regional economic integration organization, or member country of such organization, has entered into an agreement with the United States that provides for appropriate privacy protections for information shared for the purpose of preventing, investigating, detecting, or prosecuting criminal offenses; or
(ii)the Attorney General has determined that the country or regional economic integration organization, or member country of such organization, has effectively shared information with the United States for the purpose of preventing, investigating, detecting, or prosecuting criminal offenses and has appropriate privacy protections for such shared information;
(B)the country or regional economic integration organization, or member country of such organization, permits the transfer of personal data for commercial purposes between the territory of that country or regional economic organization and the territory of the United States, through an agreement with the United States or otherwise; and
(C)the Attorney General has certified that the policies regarding the transfer of personal data for commercial purposes and related actions of the country or regional economic integration organization, or member country of such organization, do not materially impede the national security interests of the United States.
Si tenga presente che, le condizioni di cui ai punti A, B e C, non rappresentano delle alternative, ma devono coesistere.
Un altro spunto di riflessione è rappresentato dalla sequenzialità dei requisiti elencati rispetto al riconoscimento della tutela, essi devono essere già in vigore quando il Dipartimento esegue la sua valutazione.
Sembra che la posizione europea, fortificata dalla sentenza della Corte di Giustizia, si stia indebolendo e si stia allineando ai requisiti statunitensi nel creare le condizioni idonee a rispettare la normativa quadro in materia di protezione dati. Anche se dovessimo prendere in considerazione tale opzione, e non dico che dovremmo, la normativa finale non sarà in grado di proteggere i diritti fondamentali dei cittadini europei.
Si tratta di un cane che si morde la coda!
In sostanza, l’applicazione del JRA necessita di una precondizione fondamentale: l’esistenza dell’accordo sul trasferimento dei dati e che tale accordo non interferisca con la sicurezza nazionale … come ho già sottolineato in un precedente articolo, l’Umbrella Act (reso pubblico da EPIC.org con una richiesta inoltrata ai sensi del Freedom of Information Act, contro il Dipartimento di Giustizia degli Stati Uniti) e, più concretamente, casi come FBI vs Apple, dimostrano che i “dubbi”, che hanno condotto all’invalidazione del #safeharbor da parte della Corte di Giustizia Europea, rimangono tuttora irrisolti.
Dalla lettura dell’Umbrella Act e della versione approvata del JRA, non sono sicuro che la nuova normativa sopravviverebbe ad una valutazione dettagliata e competente di un’Autorità Indipendente (aka DPA) o, ancor peggio, della Corte di Giustizia dell’Unione Europea.