Internazionale: ripartizione dell'ordine esecutivo degli Stati Uniti che attua il DPF UE-USA

Dall'annullamento dello scudo UE-USA per la privacy a seguito del caso Schrems II, le organizzazioni sono state obbligate a trovare meccanismi alternativi per il trasferimento dei dati personali dall'UE agli Stati Uniti al fine di garantire un livello di protezione sostanzialmente equivalente. Tuttavia, dopo diversi mesi di negoziati, il 7 ottobre 2022 il presidente Joe Biden ha firmato l'ordine esecutivo sul miglioramento delle salvaguardie per le attività di intelligence dei segnali degli Stati Uniti 1 ("EO") che delinea come gli Stati Uniti intendono attuare i propri impegni nell'ambito dell'UE Quadro Unione-USA sulla privacy dei dati ("DPF UE-USA"). Ciò costituisce un importante passo successivo verso il ripristino di una decisione di adeguatezza della Commissione europea, che faciliterebbe il flusso transatlantico di dati personali tra le due regioni.

Mentre sorgono reazioni e domande sulle protezioni fornite dall'OE, OneTrust DataGuidance fornisce uno schema delle disposizioni principali dell'OE, con i commenti forniti da David Dumont, Partner di Hunton Andrews Kurth, e Odia Kagan, Partner e Chair of GDPR Compliance & Privacy internazionale presso Fox Rothschild #LLP.

Cos'è l'EO e perché è importante? L'OE fa seguito a un accordo di principio sul quadro di trasferimento annunciato dalla presidente della Commissione europea, Ursula von der Leyen, nel marzo 2022. Tuttavia, come rilevato dall'autorità danese per la protezione dei dati, l'OE non è di per sé una base per i trasferimenti di dati personali fino a quando la Commissione non avrà approvato la sua valutazione in cui si afferma che esiste un livello sufficiente di protezione dei dati personali negli Stati Uniti 2. L'EO, tuttavia, fornisce un movimento in avanti e, come notato da Kagan, "è un enorme passo compiuto dagli Stati Uniti per affrontare le questioni segnalate dall'UE e per spostare la crisi del trasferimento di dati vissuta da decine di migliaia di aziende verso una risoluzione. L'OE pone limiti alla raccolta e al trattamento delle informazioni, richiede che il processo sia più strutturato e ponderato, aumenta la trasparenza, impone meccanismi di controllo e rafforza l'indipendenza di questi meccanismi''.

È importante sottolineare che l'EO include un meccanismo multistrato vincolante per consentire alle persone di chiedere un risarcimento, impone il trattamento dei dati personali e aggiunge ulteriori salvaguardie per le attività di intelligence dei segnali degli Stati Uniti.

Su questo punto, Dumont osserva che, "mettendo in atto tutele legali che limitano l'accesso ai dati personali da parte delle autorità di sorveglianza statunitensi a quanto necessario e proporzionato per raggiungere scopi specifici e attuando un controllo più solido attraverso, tra l'altro, l'istituzione di un Data Protection Review Court ("DPRC"), l'OE affronta le questioni chiave sollevate dalla Corte di giustizia dell'Unione europea [nel caso Schrems II]".

Quali sono gli aspetti chiave dell'EO? Legittima raccolta L'EO prevede che le attività di intelligence dei segnali debbano essere soggette a una rigorosa supervisione per garantire che seguano i principi pertinenti. Di conseguenza, l'EO stabilisce che gli obiettivi legittimi della raccolta di informazioni personali includono, tra le altre cose, la comprensione o la valutazione delle capacità, delle intenzioni, di una serie di minacce da parte di governi stranieri, organizzazioni terroristiche, spionaggio, sicurezza informatica e personale.

L'EO fornisce anche una serie di obiettivi vietati per quanto riguarda la raccolta e il trattamento di informazioni personali da parte delle autorità di intelligence dei segnali. Questi scopi vietati includono:

sopprimere o gravare critiche, dissensi o la libera espressione di idee da parte di individui o stampa; sopprimere o limitare i legittimi interessi alla privacy; sopprimere o limitare un diritto all'assistenza legale; o persone svantaggiate in base alla loro etnia, razza, genere, identità di genere, orientamento sessuale o religione. Inoltre, l'EO chiarisce che non è un obiettivo legittimo raccogliere informazioni commerciali private straniere o segreti commerciali per offrire un vantaggio competitivo alle società statunitensi e ai settori commerciali degli Stati Uniti a livello commerciale. L'unica raccolta autorizzata è quella a tutela della sicurezza nazionale degli USA o dei suoi alleati.

Collezione in blocco Per quanto riguarda la raccolta in blocco di informazioni personali, l'OE richiede che sia data la priorità alla raccolta mirata. In particolare, quando si ritiene necessario impegnarsi nella raccolta in blocco, elementi della comunità dell'intelligence devono applicare metodi e misure tecniche ragionevoli per limitare i dati raccolti solo a ciò che è necessario per far avanzare una priorità di intelligence convalidata, riducendo al minimo la raccolta di informazioni non pertinenti informazione.

Secondo l'EO, la raccolta di massa di informazioni personali può avvenire solo per il perseguimento di obiettivi tra cui:

protezione contro il terrorismo; protezione contro lo spionaggio; protezione contro le minacce derivanti dallo sviluppo, dal possesso o dalla proliferazione di armi di distruzione di massa; protezione contro le minacce alla sicurezza informatica; protezione contro le minacce al personale; o protezione contro le minacce criminali transnazionali. Allo stesso modo, l'EO ritiene che, per ridurre al minimo l'impatto sulla privacy e sulle libertà civili, la raccolta di massa di informazioni personali sarà soggetta a tali salvaguardie, tranne nel caso in cui le informazioni siano:

utilizzato solo per supportare la fase iniziale dell'attività di raccolta di intelligence dei segnali mirata; conservati solo per il breve periodo necessario al completamento della fase di cui sopra; e successivamente cancellato. Quanto sopra, tuttavia, non è stato privo di critiche. In particolare, nessuna delle vostre attività ("NOYB") ha delineato nella sua reazione all'EO 3 che "[nonostante il cambiamento nella formulazione da "il più possibile su misura" a "necessario e proporzionato"], non vi è alcuna indicazione che gli Stati Uniti la sorveglianza di massa cambierà nella pratica [poiché] l'UE e gli Stati Uniti hanno deciso di copiare le parole " necessario " e " proporzionato " nell'OE, ma non hanno convenuto che avrà lo stesso significato giuridico''.

Segnala l'Intelligence Redress La sezione 3 dell'OE stabilisce disposizioni per la creazione e il funzionamento di un meccanismo di ricorso, che serve allo scopo di esaminare i reclami idonei contro le attività di intelligence dei segnali statunitensi trasmesse dall'autorità pubblica competente in uno stato qualificato per qualsiasi violazione pertinente delle leggi statunitensi e, se necessario, opportuna bonifica agli stessi.

In effetti, Dumont osserva che "Rispetto al difensore civico ai sensi del precedente Privacy Shield, il meccanismo di ricorso introdotto nell'OE di Biden fornisce maggiori garanzie per un controllo indipendente, imparziale ed efficace".

Sebbene l'EO non stabilisca il processo per la presentazione dei reclami di qualificazione, affida al Direttore dell'intelligence nazionale, insieme all'AG e ai capi degli elementi dell'Intelligence Community che raccolgono o gestiscono le informazioni personali raccolte attraverso l'intelligence dei segnali, di tali compito, che deve essere espletato entro 60 giorni dalla data dell'OP, ovvero entro il 6 dicembre 2022.

Responsabile della protezione delle libertà civili

Parimenti, l'EO attribuisce al Direttore dell'Intelligence Nazionale, in coordinamento con l'AG, il compito di stabilire la procedura attraverso la quale il Funzionario della Protezione delle Libertà Civili dell'Ufficio del Direttore dell'Intelligence Nazionale ('CLPO') è autorizzato ad indagare , valutare e, se necessario, ordinare rimedi appropriati per i reclami qualificanti. Il processo in questione deve garantire, come minimo, che il CLPO, in relazione a ciascun reclamo ammissibile:

rivedere le informazioni pertinenti; esercitare la propria autorità per determinare se vi fosse una violazione coperta; determinare la riparazione adeguata; fornire una relazione classificata su informazioni che indicano una violazione dell'autorità soggetta alla supervisione della Corte di sorveglianza dell'intelligence straniera ("FISC") all'AG Assistant per la sicurezza nazionale; informare il denunciante, tramite l'autorità pubblica competente in uno stato qualificato (tuttavia senza menzionare se il denunciante era soggetto ad attività di intelligence dei segnali statunitensi), che: o la revisione non ha rivelato alcuna violazione coperta o il CLPO ha emesso una determinazione che ordinava la riparazione della violazione coperta; il denunciante o un elemento della comunità dell'intelligence può richiedere il riesame della determinazione del CLPO dinanzi al tribunale del riesame della protezione dei dati (vedi sotto); in caso di ricorso innanzi al Tribunale del Riesame della Protezione dei Dati, sarà scelto dallo stesso un avvocato speciale che sosterrà l'interesse del denunciante in materia; conservare un'adeguata documentazione della revisione effettuata e fornire una decisione classificata che delinei, tra l'altro, le basi dei suoi risultati; preparare un verbale di revisione classificato ex parte ; e fornire supporto alla RPDC. Tuttavia, per quanto riguarda il processo seguito per qualificare i reclami, Kagan cita che "ci sono già voci che affermano che il ricorso non è efficace se non si sa nemmeno di essere stati monitorati in primo luogo. Questo, tuttavia, è un dilemma secolare sull'equilibrio tra i diritti delle persone e l'interesse per la sicurezza nazionale".

Fatte salve eventuali determinazioni della DPRC, le determinazioni del CLPO avranno effetto vincolante per la Intelligence Community, in modo che ciascuna agenzia intraprenda le necessarie azioni correttive, come obbligato dal CLPO.

In aggiunta a quanto sopra, l'Electronic Privacy Information Center ("EPIC") ha previsto 4 che "la complessità del nuovo meccanismo di ricorso e la mancanza di disposizioni di avviso solleveranno probabilmente preoccupazioni tra gli europei sul fatto che non sia un modo significativamente accessibile per esercitare i propri diritti”.

La Corte di Riesame della Protezione dei Dati e i Regolamenti

Come richiesto dall'OE, l'AG ha emesso, lo stesso giorno dell'EO, il regolamento 5 che istituisce una DPRC.

In conformità con l'EO, i regolamenti, come minimo, prevedono che:

l'AG, insieme al Segretario al Commercio, al Direttore dell'intelligence nazionale e al Privacy and Civil Liberties Oversight Board ("PCLOB") nomineranno i giudici che faranno parte della DPRC, che, tra l'altro, non devono essere dipendenti del governo degli Stati Uniti; al ricevimento di una domanda di riesame, è convocato un collegio di tre giudici; una volta convocato, il collegio sceglie un avvocato speciale, per assistere il collegio e rappresentare gli interessi del denunciante in materia; il collegio riesamina in modo imparziale le determinazioni del CLPO in merito all'accertamento di una violazione contemplata e ai relativi rimedi ordinati, basandosi a tal fine sulla registrazione ex parte classificata descritta nella Sezione 3(c)(i)(f) dell'OE, e sulle decisioni pertinenti della Corte Suprema degli Stati Uniti; in caso di disaccordo con le determinazioni del CLPO, il collegio emette proprie determinazioni; il panel deve fornire una relazione classificata sulle informazioni che indicano una violazione dell'autorità soggetta alla supervisione della FISC all'AG Assistant per la sicurezza nazionale; e al termine della revisione da parte della giuria: l'esito dell'esame stesso dovrà essere comunicato al CLPO, secondo la procedura prevista dall'AG nel regolamento; e il denunciante deve essere informato, tramite l'autorità pubblica appropriata nello stato qualificato (tuttavia senza menzionare se il denunciante era soggetto ad attività di intelligence dei segnali statunitensi) che: la revisione non ha rivelato alcuna violazione coperta; o la DPRC ha emesso un provvedimento che ordina azioni correttive. Analogamente alle disposizioni stabilite in merito al CLPO, le determinazioni del DPRC avranno effetto vincolante per la Intelligence Community. L'EO conferma, tuttavia, che deve rimanere indipendente dall'AG e dalla Intelligence Community.

Su questo, Dumont prevede che "è difficile valutare l'impatto pratico della RPDC in questa fase.

Detto questo, non vi è motivo di presumere che il meccanismo di ricorso a due livelli previsto dall'OE non sarà efficace […] Si tratta chiaramente di un meccanismo di ricorso più solido rispetto al Mediatore esistente nell'ambito del precedente scudo, che era uno dei principali preoccupazioni sollevate nel caso Schrems II."

Stato qualificato In particolare, l'EO aggiunge che per implementare il meccanismo di ricorso di cui sopra, l'AG è autorizzata a designare un paese o un'organizzazione di integrazione economica regionale come stato qualificato con effetto immediato o in una data specificata dall'AG.

Più specificamente, Dumont aggiunge che "L'EO stabilisce la procedura per la designazione degli Stati come Stato qualificato, che richiede una decisione dell'AG, in consultazione con il Segretario di Stato, il Segretario del Commercio e il Direttore dell'intelligence nazionale.

Nel designare uno Stato come Stato qualificato, i decisori terranno conto se:

le leggi dello Stato interessato stabiliscono garanzie adeguate in relazione allo svolgimento di attività di intelligence dei segnali che interessano i dati personali di individui statunitensi; lo Stato consente o prevede di consentire il trasferimento di informazioni personali a fini commerciali negli Stati Uniti; e la designazione farebbe avanzare gli interessi nazionali degli Stati Uniti". Tuttavia, l'EO prevede che l'AG possa revocare o modificare tale designazione, qualora una qualsiasi delle considerazioni di cui sopra non sia più applicabile.

Quali sono le considerazioni commerciali? Come notato, dal caso Schrems II, molte organizzazioni hanno dovuto rivedere attentamente i loro trasferimenti dall'UE agli Stati Uniti in attesa di vedere se si sarebbe concretizzato uno scudo per la privacy rinnovato.

Di conseguenza, Dumont osserva che "se adottato, il nuovo quadro dello scudo per la privacy fornirà probabilmente un meccanismo meno oneroso e più conveniente dal punto di vista operativo per trasferire i dati personali dall'UE agli Stati Uniti. Ciò è particolarmente vero per le società con sede negli Stati Uniti che ricevono dati provenienti da molti diversi esportatori di dati nell'UE, poiché la certificazione Shield eliminerà l'onere amministrativo associato alla conclusione e al mantenimento di accordi di trasferimento dei dati.

Al momento, non abbiamo una visione completa degli obblighi che le organizzazioni avranno nell'ambito del nuovo quadro Shield. Detto questo, non prevediamo che le organizzazioni che erano o sono ancora certificate nell'ambito del precedente framework Shield dovranno affrontare significative attività di conformità aggiuntive.

Anche prima che venga adottata la decisione di adeguatezza rispetto al nuovo scudo, le organizzazioni dell'UE che esportano dati negli Stati Uniti potrebbero iniziare ad aggiornare le proprie valutazioni dell'impatto del trasferimento per considerare le nuove salvaguardie previste dall'OE".

Inoltre, Kagan sottolinea che "L'EO affronta la componente di sicurezza nazionale del Privacy Shield. È probabile che le parti commerciali della certificazione del Privacy Shield debbano essere adattate al GDPR (poiché il meccanismo era approvato prima del GDPR). Tuttavia, le aziende, entrambe non sono certificati e coloro che lo sono, farebbero bene a esaminare i requisiti per la certificazione e vedere cosa devono fare.Ciò richiederebbe ovviamente di esaminare i tuoi trasferimenti, le finalità dichiarate del trattamento, le reali finalità del trattamento, le misure per proteggere i dati ecc''.

Prossimi passi L'OE costituirà ora la base per la Commissione europea 6 per avviare il processo per l'emissione di un progetto di decisione di adeguatezza e avviare successivamente la sua procedura di adozione.

Tuttavia, al momento in cui scriviamo, una tempistica per il processo verso una nuova decisione di adeguatezza non è stata confermata e potrebbe richiedere fino a sei mesi. Nel frattempo, la Casa Bianca ha sottolineato 7 che l'EO dovrebbe fornire maggiore certezza giuridica alle aziende che utilizzano Standard Contractual Clauses ("SCC") e Binding Corporate Rules ("BCR") per trasferire dati personali dall'UE agli Stati Uniti.

Harry Chambers Analista senior della privacy hchambers@onetrust.com

Anna Baldin Analista senior della privacy abaldin@onetrust.com

Commenti inviati da: Odia Kagan Partner e Presidente di GDPR Compliance & International Privacy okagan@foxrothschild.com

Fox Rothschild LLP, Philadelphia David Dumont Partner ddumont@HuntonAK.com Hunton Andrews Kurth, Belgio

1. Vedi: https://www.whitehouse.gov/briefing-room/presidential-actions/2022/10/07/executive-order-on-enhancing-safeguards-for-united-states-signals-intelligence-activities/

2. Vedi: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/okt/nyt-om-transatlantiske-overfoersler-af-personoplysninger

3. Vedi: https://noyb.eu/en /new-us-executive-order-unlikely-satisfy-eu-law

4. Vedi: https://epic.org/president-biden-signs-executive-order-creating-new-safeguards-for-us-surveillance- programmi/

5. Cfr.: https://www.justice.gov/opcl/page/file/1541321/download

6. Cfr.: https://ec.europa.eu/commission/presscorner/detail/en/qanda_22_6045

7. Vedere: https://www.whitehouse.gov/briefing-room/statements-releases/2022/10/07/fact-sheet-president-biden-signs-executive-order-to-implement-the-european-union-us- quadro-di-privacy dei dati/

8. Fonte: https://www.dataguidance.com/opinion/international-breakdown-us-executive-order?mkt_tok=MTEzLVpZRC0zODkAAAGHZl2nzLtef_t2JYW6z6DZkuyDbtlxe8pMngFGAWkU3fEBjvaHiW3aB8m6doyzy-PxgfEt0Fs5gV4X0xxNWtNJOIZEExQA4BMbwFHR0KE