Dati personali, finanziari e fiscali: quanto sono davvero protetti nei rapporti USA-UE - Cyber Security 360

Lo scenario

Dati personali, finanziari e fiscali: quanto sono davvero protetti nei rapporti USA-UE

Le attività di contrasto al riciclaggio, al finanziamento al terrorismo ed alla criminalità organizzata alimentano le preoccupazioni in merito alla prevalenza della sicurezza nazionale dei singoli Stati sulla tutela dei dati personali: ecco la situazione nell’ambito dei rapporti USA-UE

03 Nov 2020
P
Federico P. F. Pontani

Legal Tech Consultant

Nell’ambito delle attività di indagine per il contrasto ai fenomeni di evasione ed elusione fiscale, di riciclaggio, finanziamento al terrorismo e criminalità organizzata, le autorità pubbliche raccolgono una grande quantità di informazioni personali che confluiscono in banche dati sempre più ampie.

Proprio la grande mole di dati raccolti, unitamente alla varietà degli stessi (non solo dati fiscali, ma anche previdenziali, sanitari, finanziari, di polizia, etc.), rende possibile ricavare informazioni ulteriori, anche attraverso l’uso di software di data mining.

Ne consegue l’opportunità, almeno teorica, di ricostruire profili individuali sempre più precisi e dettagliati [1].

La correlazione dei dati raccolti se da un lato rappresenta uno strumento utile per una migliore repressione reati (si consideri solo la possibilità di individuare le fonti finanziarie illecite realizzate anche attraverso lo scambio di criptovaluta[2]), dall’altro porta a un sacrificio di diritti e libertà dei cittadini, che sono così sottoposti ad un controllo più stringente ed esposti ad un maggiore rischio da data breach.

L’Unione Europea ha sancito da tempo una serie di principi inderogabili in materia di diritti fondamentali[3], inviolabili, a tutela della vita privata e familiare, nonché in materia di protezione dei dati personali[4].

Organi di monitoraggio

Oltre alle autorità nazionali, al fine di monitorare i comportamenti lesivi di detti diritti nonché l’uniforme interpretazione della normativa europea all’interno dei singoli stati, sono stati istituiti il Comitato europeo per la Protezione dei Dati (EDPB) e l’European Data Protection Supervisor (EDPS).

Quest’ultimo, in particolare emette Opinion che costituiscono uno strumento di coordinamento tra le Autorità indipendenti dei singoli Paesi dell’UE, fornendo interpretazioni normative e suggerendo indirizzi di comportamento. La recente Opinion 5/2020, che richiama posizioni già espresse dal WP29 nell’Opinion 1/2017, conferma il principio secondo cui sono ammesse limitazioni al diritto di protezione dei dati personali nel rispetto dei principi di necessità e proporzionalità.

Peraltro, tali limitazioni sono state oggetto di dettagliata trattazione da parte dell’EDPS:

  • nel Toolkit dell’11 aprile 2017[5], nel quale si fa riferimento anche al principio di legalità (cfr. all’art. 52 della Carta);
  • nelle Guidelines dell’EDPS[6] dove è stato posto l’accento sulla necessità di valutare correttamente gli elementi di fatto sui quali si deve basarsi l’iniziativa del singolo Stato e della stessa Unione europea.

I principi di necessità e di proporzionalità si applicano, a maggior ragione, nel caso del trasferimento di dati personali al di fuori dell’Unione europea.

Il Privacy Shield prima della sentenza Schrems II

Tra gli accordi stipulati per la tutela dei dati personali, particolare importanza ha rivestito il Privacy Shield[7], strumento di protezione dei dati personali dei cittadini dei Paesi dell’UE nei rapporti con gli USA. Il Privacy Shield prevedeva che le controparti statunitensi si impegnassero solo al rilascio di autocertificazioni e faceva parte di un contesto assai complesso di relazioni commerciali.

Il Privacy Shield, inoltre, aveva già sostituito il precedente accordo del 2000 (c.d. Safe Harbor) invalidato dalla Corte di Giustizia dell’UE nel 2015.

L’OCSE, con le sue raccomandazioni del 1980[8], aveva sostanzialmente formulato indirizzi di comportamento a cui attenersi per il trasferimento transfrontaliero di dati personali tra la Comunità europea e gli Stati Uniti. Tali indirizzi avevano l’intento di rafforzare gli scambi commerciali.

Il Safe harbor[9] del 2000, in un certo senso, ha rappresentato la naturale evoluzione ed approdo rispetto alle trattative conseguite alle raccomandazioni OCSE. Tuttavia, già allora, nei rapporti tra USA e CE, bisognava tenere conto degli organismi per la tutela della sicurezza nazionale USA (Central Intelligence Agency, National Security Agency, Federal Bureau of Investigation, etc.), la cui attività portava in concreto – allora come oggi – ad ampie ingerenze nella vita privata.

A tal riguardo, basti considerare la quantità di intercettazioni senza necessità di previe autorizzazioni disposte in applicazione del FISA (Foreign Intelligence Surveillance Act), che finiscono per alimentare “generosi” database sempre consultabili per finalità di antiterrorismo.

D’altronde, se nella gerarchia dei beni tutelati dagli ordinamenti la sicurezza nazionale spesso ricopre il primo posto, nelle maglie larghe del concetto di “sicurezza nazionale” può essere fatto rientrare ben più del necessario.

Ed è in questa prospettiva che la tutela dei dati delle persone fisiche – e a maggior ragione dei cittadini non statunitensi – diviene secondaria nell’ambito dei trattamenti transfrontalieri in territorio USA.

Il caso Carpenter vs US

Nemmeno la Corte Federale statunitense sembra però aver trovato un’adeguata soluzione alla questione del rapporto tra sicurezza e tutela dei dati personali. Il riferimento è, in particolare, al recente caso Carpenter vs US[10] (sulla “legittima aspettativa di privacy” ed “intercettazioni a tappeto” dell’FBI[11]).

La questione affrontata dalla Suprema Corte Federale, e decisa a maggioranza di soli cinque voti su nove, è di particolare importanza in quanto concerne le attività investigative che, per loro natura, non riguardano solo cittadini statunitensi.

Nello specifico, si è ritenuto che la richiesta di accesso a celle telefoniche dovesse essere supportata da un mandato preventivo, emesso da un magistrato in base alla probable cause di un evento dannoso.

Nel corso del dibattimento, inoltre, plurimi sono stati i richiami al IV emendamento della Costituzione Federale e alla tutela della vita privata di fronte all’accesso a strumenti che possono portare ad un controllo massivo. Tuttavia, anche il IV emendamento deve essere interpretato alla luce delle innovazioni tecnologiche.

Il panorama statunitense

Quando si parla di diritto alla privacy[12] negli USA, il riferimento primario è al IV emendamento[13] della Costituzione federale, secondo cui il diritto dei cittadini di godere della sicurezza personale, della loro casa, delle loro carte e dei loro beni, nei confronti di perquisizioni e sequestri ingiustificati non può essere violato.

A completamento del quadro normativo si inseriscono le norme del Privacy Act, Computer Matching and Privacy Protection Act, Judicial Redress Act del 2015, Umbrella Agreement ed altre[14]. Fonti che tuttavia delineano un concetto di privacy inteso nella sua accezione restrittiva e rigorosa (non inclusiva della protezione dei dati personali), connotata da minori garanzie rispetto a quelle presenti nell’UE.

WHITEPAPER
Privacy dei dati: i vantaggi della tecnologia eDiscover
Privacy
Sicurezza dei dati

A questo va ad aggiungersi l’autonomia normativa di cui gode ogni Stato americano, che contribuisce a creare un contesto di tutele confuso e frammentario. Anche se, si deve ammettere, un passo in avanti significativo è stato compiuto dalla California con il California Consumer Privacy Act (CCPA)[15].

Nel CCPA è previsto e regolamentato il commercio (in senso molto ampio) dei dati personali. I dati sono intesi qui come beni e come tali dovrebbero essere oggetto di tutela ai sensi del IV emendamento. Nulla è stato, comunque, previsto in termini di liceità del trattamento, da valutare caso per caso.

Sulla stessa linea si è posto lo Stato dello Utah con l’emanazione dell’Electronic Information or Data Privacy Act[16], che ha definito[17] un dispositivo elettronico, strumentale al fine della circolazione e del trattamento di informazioni, come a device that enables access to or use of an electronic communication service, remote computing service, or location information service.

Si tratta di una definizione di portata molto più ampia rispetto a quelle rinvenibili nelle normative di altri Stati USA. In quella sede [18] si è precisato che le informazioni o i dati elettronici includono a sign, signal, writing, image, sound, or intelligence of any nature transmitted or stored in whole or in part by a wire, radio, electromagnetic, photoelectronic, or photooptical system. Al contempo, la nuova norma[19] ha statuito che:

“a law enforcement agency[20] may not use, copy, or disclose, for any purpose, the location information, stored data, transmitted data of an electronic device, or electronic information or data provided by a remote computing service provider, that:

  • is not the subject of the warrant; and
  • is collected as part of an effort to obtain the location information, stored data, transmitted data of an electronic device, or electronic information or data provided by a remote computing service provider that is the subject of the warrant [omissis]”.

Nella stessa norma si precisa che “the law enforcement agency may use, copy, or disclose the transmitted data of an electronic device used to communicate with the electronic device that is the subject of the warrant if the law enforcement agency reasonably”.

Si tratta di piccoli passi di avvicinamento alla normativa dell’UE, ma si deve sottolineare che le prerogative degli organismi federali statunitensi prevalgono sulle ragioni dei singoli Stati.

Dopo il Privacy Shield

La Corte di Giustizia dell’UE ha dovuto affrontare la spinosa questione dei rapporti con gli USA in materia di protezione dei dati in due differenti occasioni che si può dire aver fatto la storia in quanto hanno condotto all’invalidazione di due decisioni della Commissione (2000/520/CE e 2016/2150/UE).

I casi sono stati innescati da azioni giudiziarie promosse entrambe da Maximillian Schrems, cittadino austriaco e attivista per la tutela della privacy. Le azioni traggono il fondamento dalle rivelazioni di Edward Snowden (informatico, attivista e whistleblower statunitense, ex tecnico della CIA e, fino al 10 giugno 2013, anno del c.d. datagate[21], collaboratore di una società consulente della NSA) in relazione alle attività dei servizi di intelligence degli Stati Uniti e, in particolare, a quelle della NSA, in forza anche del Foreign Intelligence Surveillance Act del 1978 e succ. modd.

I casi (causa C– 362/14 e C–311/18) trattati dalla Corte di Giustizia europea sono stati giudicati, rispettivamente, con:

  • la sentenza Schrems I del 6 ottobre 2015, che fa richiamo alle COM (2013) 846 final del 27 novembre 2013, ribaditi i principi del “porto sicuro” e COM (2013) 847 final
  • la sentenza Schrems II del 16 luglio 2020, che richiama sia i principi enunciati nella direttiva 95/46/CE, sia quelli del successivo regolamento UE 2016/679, del 27 aprile 2016, del Parlamento europeo e del Consiglio.

I principi ribaditi (e ritenuti violati dai giudici della Corte) sono quelli, non solo indicati nella Carta, ma anche all’art. 23 del Regolamento UE.

In ossequio a questi principi, l’invocata limitazione di tutela deve rispettare l’essenza dei diritti e delle libertà fondamentali e deve essere espressione di una misura necessaria e proporzionata in una società democratica per salvaguardare la sicurezza nazionale, la difesa, la sicurezza pubblica, la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica.

In particolare, la Corte di giustizia, nella sua sentenza del 2020 (Schrems II), ha ribadito, che i limiti alla “protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati devono essere interpretati nel senso che le garanzie adeguate, i diritti azionabili e i mezzi di ricorso effettivi richiesti da tali disposizioni devono garantire che i diritti delle persone i cui dati personali sono trasferiti verso un paese terzo sul fondamento di clausole tipo di protezione dei dati godano di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione da tale regolamento, letto alla luce della Carta dei diritti fondamentali dell’Unione europea”.

La Corte, nella citata sentenza, ha sottolineato (p.to 185 delle motivazioni) che “le limitazioni alla protezione dei dati personali, che derivano dalla normativa interna degli Stati Uniti in materia di accesso e utilizzo, da parte delle autorità pubbliche statunitensi, di tali dati trasferiti dall’Unione verso gli Stati Uniti, non sono inquadrate in modo da corrispondere a requisiti sostanzialmente equivalenti a quelli richiesti nel diritto dell’Unione” (con richiamo all’art.52, par. 1, seconda frase, della Carta di Nizza).

La reazione degli USA

È alla luce delle richiamate motivazioni e della conseguente decisione della Corte di Giustizia europea che il Secretary of Commerce degli USA, Wilbur Ross, e l’European Commissioner for Justice, Didier Reynders hanno, congiuntamente, rilasciato, in data 10 agosto 2020, un comunicato stampa con il quale si informa e si dà atto che “il Dipartimento del Commercio degli Stati Uniti e la Commissione Europea hanno avviato discussioni per valutare il potenziale per un rafforzamento dell’UE-USA Privacy Shield framework per conformarsi alla sentenza del 16 luglio della Corte di giustizia dell’Unione europea nel caso Schrems II. Questa sentenza ha dichiarato che questo quadro non è più un meccanismo valido per trasferire dati personali dall’Unione Europea agli Stati Uniti.”

Si deve rimarcare che anche la sentenza del caso Scherms I aveva invalidato il precedente privacy framework e che, nella sostanza, l’approccio statunitense alla questione della tutela dei dati personali è sempre stato debole e non in linea con un adeguato standard di protezione dei dati personali.

Conclusioni

L’Unione Europea, allo stato attuale, si può considerare il punto di riferimento più avanzato in materia di tutela dei dati personali nell’ambito dell’intero processo di trattamento, dall’origine ed acquisizione, alla loro circolazione, conservazione, sino alla cancellazione.

Le autorità garanti dei singoli Paesi dell’Unione europea operano in modo coordinato, con poteri sanzionatori, e nell’ambito di un quadro definito di tutela delle persone cu i dati si riferiscono. La predetta tutela è tuttavia condizionata da fattori culturali economici e di preparazione tecnica dei soggetti che partecipano al processo di gestione de dati.

L’Unione Europea si pone comunque all’avanguardia nel sistema di tutela dei dati personali ed allora ci si deve interrogare su cosa accadrà nello specifico a tutti i trasferimenti di dati in essere tra gli USA e l’UE a seguito della caducazione del Privacy Shield.

Evidentemente non si è interrotto il flusso transfrontaliero di dati personali, come d’altronde non può essere interrotto il flusso commerciale. In concreto, è ragionevole attendersi un incremento delle dichiarazioni contenute nelle autocertificazioni e la modifica del testo delle clausole di salvaguardia nei rapporti contrattuali bilaterali o multilaterali, ma sino a quando non verrà stipulato un nuovo accordo di tutela dei dati personali dei cittadini dell’UE nei rapporti transfrontalieri con soggetti che operano negli USA, la situazione resterà sostanzialmente non regolata e ad elevato il rischio di violazione dei diritti.

NOTE

[1] Report from the Commission to the European Parliament and the Council on the interconnection of national centralised automated mechanisms. Central registries or central electronic data retrieval systems of the Member States on bank accounts, COM (2019) 372 final.

[2]  Sul tema v. anche la Direttiva UE  843/2018, AMLD5.

[3] Si tratta della Carta dei diritti dritti fondamentali dell’Unione europea (2012/C 326/02)

[4] Cfr. artt. 7 e 8 della Carta dei diritti dritti fondamentali dell’Unione europea.

[5]Assessing the necessity of measures that limit the fundamental right to the protection of personal data”.

[6] Le Guidelines del 19 dicembre 2019 disciplinano l’“assessing [of] the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data”.

[7] Adottato dalla Commissione europea il 12 luglio 2016. Con questo accordo la Commissione Europea e il Ministero del commercio USA hanno inteso sostituire la decisione di adeguatezza sul Safe Harbor (2000/520/CE), decisione che era stata invalidata dalla Corte di giustizia dell’Ue il 6 ottobre 2015.

[8] Si tratta delle Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data of 23 September 1980 [C(80)58/FINAL] che sono state modificate l’11 luglio 2013 dal C (2013)79.

[9] Il Safe harbor (porto sicuro) poi divenuto privacy shield (scudo o schema della privacy), frutto della decisione 2000/520/CE della Commissione, è un accordo fondato su autocertificazioni dei destinatari USA dei dati provenienti dalla CE e sulle indicazioni fornite nelle cosiddette «domande più frequenti» pubblicate dal Dipartimento del Commercio degli Stati Uniti e dichiarate adeguate allo scopo della tutela dei dati, in ossequio a quanto disposto nella direttiva 95/46/CE (Capo IV, art. 25, par. 2 in materia di trasferimento transfrontaliero di dati personali).

[10] Supreme Court of the United States, No. 16–402, Timothy Ivory Carpenter, Petitioner V. United States, on Writ of Certiorari to the United States Court of Appeals for the Sixth Circuit, June 22, 2018, 585 U. S.  (2018), Opinion of the Court.

[11] Nel caso, di particolare rilevanza, si è invocato il IV emendamento alla Costituzione federale degli USA ed è una Opinion di grande importanza nella quale il richiamo al citato emendamento ricorre ben 258 volte.

[12] Da distinguere dal differente diritto alla protezione dei dati personali.

[13]    Peraltro, parte del c.d. Bill of Rights.

[14] Cfr. Electronic Communications Privacy Act del 1986, USA Patriot Act del 2001, USA Patriot Reauthorization Act del 2006 e Foreign Intelligence Surveillance ActAmendments Act del 2008.

[15] TITLE 1.81.5. California Consumer Privacy Act of 2018 [1798.100 – 1798.199] ,.

[16] HB57S05, V. anche  Womble Bond Dickinson (US) LLP, New Utah Privacy Law Expands Warrant Requirement for Individuals’ Data Held by Electronic Communications Service Providers, April 12, 2019 e  Sneller & Wiler, S&W Cybersecurity and data Privacy Law Blog,  A. Bolamperti and Patrick X. Fowler, What Does the New Utah Electronic Data Privacy Law Do?, May1, 2019  o il riferimento al Vermont’s HB764 “which also is a consumer-focused Law, which focuses on protecting consumers from “data brokers,” who aggregate and sell data about consumers to businesses who do not have a direct relationship to the consumer”.

[17] § 77-23c-101.2. Definitions.

[18] § 77-23c-101.2. Definitions.

[19] § 77-23c-102. Warrant required for disclosure.

[20] A law enforcement agency (LEA) può essere non solo un tipo di polizia dedicata a particolari aree criminali, locale o di Stato, ma anche agenzie federali come, a mero titolo esemplificativo, la Federal Bureau of Investigation (FBI) o la Drug Enforcement Administration (DEA) o, in un’ottica internazionale, organizzazioni come l’Europol o l’Interpol.

[21] L’espressione nasce nel 2013 con il caso Snowden. In realtà, nell’interesse della sicurezza politico-militare e di quella economica dei grandi gruppi economico-finanziari e delle telecomunicazioni, la tutela dei dati personali è sempre stata compromessa (si pensi ad Echelon , Muscular (surveillance program), Gellman, Barton; Soltani, Ashkan, Peterson, Andrea (November 4, 2013). “How we know the NSA had access to internal Google and Yahoo cloud data” ),  Prism, in Gellman, Poitras, US Intelligence Mining Data from Nine U.S. Internet Companies in Broad Secret Program, in The Washington Post, 6 giugno 2013. Tempora, in Edward Snowden, A simple guide to GCHQ’s internet surveillance programme Tempora, a tacere della notissima WikiLeaks di J. Assange.

WHITEPAPER
Come vendere un maggior numero di soluzioni di data protection?
Sicurezza
Backup

@RIPRODUZIONE RISERVATA

Articolo 1 di 5