Il mese scorso è stata rinnovata una sezione del quadro normativo che consente la sorveglianza degli Stati Uniti all'estero, il che significa che gli europei sono ancora soggetti a essere spiati.
PUBBLICITÀIl presidente degli Stati Uniti Joe Biden ha rinnovato ad aprile una sezione del quadro di sorveglianza statunitense, estendendo di due anni l'autorizzazione a monitorare e raccogliere dati senza mandato da persone non statunitensi in tutto il mondo, compresi gli europei.
La rinnovata sezione 702 del Foreign Intelligence Surveillance Act (Fisa) del 1978 è stata introdotta per la prima volta nel 2008 per adattarsi all'"evoluzione della tecnologia" e prendere di mira individui al di fuori degli Usa, secondo quanto riportato in una nota dell'Office of the Director of National Intelligence.
La stessa lezione aveva già fornito base legale per la sorveglianza di massa denunciata da Snowden
La sezione 702 ha fornito la base legale per il programma di sorveglianza di massa internazionale Prism della Nsa, la cui esistenza è stata divulgata dall'informatore Edward Snowden nel 2013.
I programmi approvati dalla Fisa come Prism, che è ancora operativo, richiedono alle aziende tecnologiche statunitensi come Microsoft, Amazon e Google di dare accesso agli account dei non statunitensi oggetto di indagine. Non è necessario alcun ordine del giudice.
Gli europei potrebbero pensare che il Regolamento generale sulla protezione dei dati (Gdpr) li protegga dalla legislazione statunitense, ma la "legge sulla privacy e sulla sicurezza più severa del mondo" è attualmente ininfluente nei confronti dei programmi autorizzati dalla Fisa, dicono gli attivisti.
"I dati degli europei sono fondamentalmente a disposizione dei servizi di sorveglianza statunitensi se decidono di averli, e questa è la realtà di ciò che sta accadendo in questo momento", ha dichiarato l'avvocato austriaco e attivista per la privacy Max Schrems a Euronews Next.
La privacy dei dati come diritto umano
La privacy dei dati è un diritto umano fondamentale nell'Ue. Il Gdpr impone severe restrizioni sui dati personali, vietandone la condivisione con Paesi che non hanno un livello di protezione equivalente - una disposizione in vigore fin dalla Direttiva sulla protezione dei dati del 1995, un predecessore del Gdpr.
Nel 2000 l'Ue ha deciso che la Svizzera offriva un "livello adeguato" di protezione dei dati, decisione rinnovata all'inizio di quest'anno. Ciò significa che i dati dei cittadini europei possono essere trasferiti in modo sicuro e senza problemi dall'interno del blocco alle entità del Paese alpino. Anche gli Stati Uniti hanno ottenuto lo status di "sostanzialmente equivalente" nel 2000, ma questa decisione è stata invalidata nel 2015 dalla Corte di giustizia dell'Unione europea (Cgue) dopo che Schrems ha sfidato il commissario per la protezione dei dati dell'Ue.
Nel 2016, la Commissione europea ha deciso di ripristinare lo status degli Stati Uniti, ma nel 2020 la massima corte europea si è nuovamente pronunciata a favore di Schrems, che ha prestato il suo nome ai due annullamenti. Schrems sostiene che una "decisione politica" ha portato la Commissione a conferire nuovamente alle leggi sulla privacy degli Stati Uniti, che a suo dire sono inesistenti, uno status equivalente a quello del Gdpr il 25 marzo 2022.
"La Corte Suprema dell'Unione Europea dice 'non potete farlo, è illegale, persino incostituzionale', e la Commissione emette (l'accordo) ancora e ancora e ancora", ha detto Schrems. Secondo l'attivista, il giorno in cui Ursula von der Leyen e Joe Biden hanno annunciato il nuovo quadro transatlantico sulla privacy dei dati, la Commissione e gli Stati Uniti hanno anche dichiarato che "lavoreranno insieme per sostenere la sicurezza energetica dell'Europa per i prossimi inverni e per ridurre in modo sostenibile la dipendenza energetica dell'Europa dalla Russia".
Il portavoce della Commissione europea Christian Wigand ha chiarito che non c'è alcun collegamento tra i due eventi. Ha invece dichiarato a Euronews Next che i colloqui sono stati motivati dal "parametro di riferimento" fissato dalla Corte di giustizia europea nel 2020: se i Paesi non hanno uno status equivalente a quello dell'UE, possono adottare "misure aggiuntive per compensare".
Una decisione con "enormi conseguenze"
Gli Stati Uniti hanno ufficialmente riacquistato lo status di "adeguatezza" nel luglio 2023, dopo che il governo statunitense ha emanato un ordine esecutivo (una legge che può essere approvata e annullata da un presidente) per limitare la raccolta dei dati dell'Ue a livelli "necessari e proporzionati". Per la Commissione, il Quadro prevede misure per "affrontare tutte le preoccupazioni sollevate dalla Corte di giustizia europea".
Noyb, l'organizzazione no-profit di Schrems che difende i diritti digitali europei, sostiene che i due Paesi non si sono mai accordati sulla definizione del termine "proporzionato" e che il nuovo accordo è uguale ai due precedenti.
Secondo Kenneth Propp, associato al think tank americano The Atlantic Council, gli Stati Uniti "non accetteranno mai una definizione di necessità e proporzionalità che sia stabilita in base al diritto dell'Ue". Tuttavia, ha affermato, "gli Stati Uniti hanno apportato alcuni cambiamenti significativi", con l'ordine esecutivo e la creazione di un nuovo sistema di ricorso giudiziario per gli europei.
Conflitto tra Washington e Bruxelles
"C'è un'interessante differenza di opinioni a seconda della sponda dell'oceano in cui ci si trova. Se ci si trova a Washington, gli esponenti del governo statunitense diranno: "Il governo statunitense ha cercato di fare tutto il possibile, nell'ambito delle sue leggi, per soddisfare gli europei"", ha detto l'esperto di flussi di dati transatlantici. "Se chiedete a Bruxelles, vi diranno: 'Questo è un po' meglio, ma è ancora lontano da quello che pensiamo sia lo standard'. In ultima analisi, la questione sarà sottoposta alla Corte di giustizia", ha aggiunto.
Noyb ha già invitato tutti coloro che sono stati colpiti dal nuovo accordo a "presentare un ricorso presso le autorità di protezione dei dati o i tribunali", ma ha avvertito che la decisione della Cgue arriverà "probabilmente entro il 2024 o il 2025". Se la Corte giudicherà non valido l'attuale accordo, come i due precedenti, gli Stati Uniti e l'Ue potrebbero trovarsi in una "situazione difficile", secondo Propp. "La disponibilità del governo statunitense a dedicare notevoli risorse per negoziare e rinegoziare questo accordo non credo sia illimitata", ha affermato.
Secondo l'esperto, la mancanza di un accordo non impedirà ai Paesi di condurre una sorveglianza di massa, ma se le aziende con sede negli Stati Uniti e nell'UE non potranno trasferire i dati per scopi commerciali, potrebbero esserci "enormi conseguenze economiche". "Come potranno le aziende condurre le loro attività se non c'è un accordo tra Stati Uniti ed Europa? Non avranno il livello di certezza giuridica di cui hanno bisogno, e questa non è una situazione sostenibile a lungo termine", ha dichiarato Propp.