Protezione dati: come i cittadini UE/SEE possono ricorrere contro le Autorità statunitensi competenti in materia di intelligence

L’European Data Protection Board (EDPB) ha recentemente pubblicato una nota informativa e moduli concernenti il meccanismo di ricorso per i cittadini dell’UE/SEE che vogliono contestare l’impiego dei loro dati personali da parte delle autorità statunitensi in materia di intelligence. L’iniziativa, parte del Data Privacy Framework (DPF), promette maggiore chiarezza e accesso alle opzioni di ricorso, nonostante possibili ritardi procedurali. Con questi nuovi strumenti, l’EDPB mira a migliorare la protezione dei dati e a rafforzare la fiducia dei cittadini europei nella gestione dei loro dati oltre oceano. Sarà sufficiente a garantire una protezione efficace della privacy?

Il 24 aprile 2024, l’European Data Protection Board ha pubblicato una nota informativa concernente un meccanismo di ricorso che consente ai cittadini dell’Unione Europea (UE) e dello Spazio Economico Europeo (SEE) di presentare reclami relativi all’accesso e all’uso dei loro dati personali da parte delle autorità statunitensi competenti in materia di sicurezza nazionale.

L’iniziativa si inserisce nel quadro dell’UE-USA Data Privacy Framework (DPF), adottato il 10 luglio 2023 dalla Commissione europea in recepimento all’Ordine Esecutivo n. 14086, firmato dal Presidente Biden il 7 ottobre 2022 e intitolato “Enhancing Safeguards for United States Signals Intelligence Activities” (sul tema, si veda Maria Bianca Armiento, Il nuovo EU-USA Data Privacy Framework: quale tutela per la privacy dei cittadini europei?).

Il Framework ha stabilito la limitazione dell’accesso ai dati dei cittadini UE/SEE da parte delle agenzie di intelligence statunitensi solo a casi di protezione della sicurezza nazionale degli Stati Uniti, purché siano rispettati i requisiti di necessità e proporzionalità. Ha altresì dato atto dell’introduzione di un meccanismo di ricorso per gestire e risolvere i reclami degli interessati stabiliti nell’UE e nel SEE con l’EO n. 14086.

Nella nota informativa del 24 aprile 2024, l’EDPB chiarisce che i reclami dei cittadini UE/SEE vengono presi in considerazione solo laddove il trattamento dei dati sia avvenuto per ragioni legate alla sicurezza nazionale statunitense. Esso è applicabile solo a dati trasmessi dopo il 10 luglio 2023 ed entra in gioco indipendentemente dallo strumento utilizzato per il trasferimento dei dati personali negli Stati Uniti: che si tratti di una decisione di adeguatezza del DPF, clausole contrattuali standard o ad hoc, regole aziendali vincolanti, codici di condotta, meccanismi di certificazione o deroghe, il meccanismo resta valido.

Ma come presentare il reclamo in parola? I cittadini possono rivolgersi per iscritto (anche tramite mail) alla Data Protection Authority (DPA) nazionale competente compilando un modulo dedicato. Solo laddove siano rispettate talune condizioni – indicate nella Sezione 4(k)(i)-(iv) dell’EO n. 14086 – e, quindi, si possa parlare in un “reclamo qualificante”, la DPA competente inoltrerà il reclamo al Civil Liberties Protection Officer (CLPO) statunitense. Nella specie, il denunciante deve dichiarare di agire per conto proprio e fornire informazioni dettagliate sul presunto accesso illecito ai suoi dati personali da parte delle agenzie di intelligence statunitensi, senza che il reclamo sia pretestuoso o fatto in malafede. Una volta verificato il rispetto di questi requisiti, la DPA competente procede all’invio del reclamo, in formato criptato, al Segretariato dell’EDPB. Quest’ultimo lo trasmetterà, sempre in formato criptato, al CLPO che fornirà una risposta al DPA, tramite il Segretariato dell’EDPB, entro un termine ragionevole. Il CLPO, a questo punto, procederà confermando o escludendo che il denunciante sia stato bersaglio di sorveglianza e specificherà il rimedio applicabile al caso di specie. In ogni caso, entro sessanta giorni dalla sua adozione, il denunciante o un membro della U.S. Intelligence Community può richiedere la revisione della decisione del CLPO presentando un appello alla Data Protection Review Court (DPRC). La decisione del DPRC sarà in ogni caso vincolante e definitiva.

È necessario dare atto del fatto che il meccanismo di protezione, con il suo obbligatorio passaggio tramite il Segretariato dell’EDBP, solleva alcune preoccupazioni. Questo sistema, a tratti farraginoso, potrebbe causare ritardi burocratici. Suscita dubbi soprattutto l’assenza di una scadenza precisa per la risposta del CLPO – che, lo ricordiamo, deve dare un riscontro i “tempi ragionevoli” – aumentando così il rischio di attese prolungate.

Tuttavia, i nuovi materiali dell’EDPB sono una nota positiva in questo scenario: semplificano l’accesso alle opzioni di ricorso per i cittadini dell’UE/SEE quando sospettano che i loro dati personali siano gestiti illecitamente per scopi di intelligence dagli Stati Uniti. Questi strumenti non solo rendono più chiaro il percorso per ottenere giustizia, ma rappresentano anche un significativo passo avanti nella protezione dei dati personali. L’iniziativa rappresenta dunque un significativo passo avanti nella protezione della privacy e potrebbe rafforzare la fiducia dei cittadini europei nella gestione delle loro informazioni sensibili oltre oceano.

Osservatorio sullo Stato Digitale by Irpa is licensed under CC BY-NC-ND 4.0