GDPR per il GA4: Biden emana l’Executive Order

Il Presidente degli Stati Uniti Joe Biden, in data 7 Ottobre 2022, ha finalmente emanato il tanto atteso Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities, rappresentante un modo per ripristinare la fiducia e la stabilità dei flussi di dati transatlantici tra Stati Uniti ed Europa.

Cosa definisce l’ Executive Order?

L’Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities va a definire i criteri che verranno adottati dagli Stati Uniti in merito all’attuazione degli impegni assunti nell’ambito dell’Europen Union-U.S. Data Privacy Framework.

Si tratta di un documento atto alla soluzione della vicenda legata al provvedimento italiano del Garante della Privacy a proposito della configurazione di GA3(Google Analytics 3).

La struttura di GA3, infatti adoperava un sistema di trasferimento di dati di utenti europei verso gli Stati Uniti che risultava poi illegittimo rispetto al GDPR.

Il documento, firmato dal Presidente Biden, rafforza quindi una serie di obblighi e crea un meccanismo indipendente e vincolante che consente richiedere un risarcimento qualora si ritenga che i propri dati personali siano stati raccolti da agenzie governative degli Stati Uniti in un modo che viola la legge.

Cosa prevede nel dettaglio l’Executive Order?

In dettaglio l’Executive Order prevede:

• Aggiunta di ulteriori obblighi in capo alle agenzie di intelligence degli Stati Uniti: richiedono che le attività siano condotte esclusivamente nel perseguimento di obiettivi di sicurezza nazionale, che tengano conto della privacy e delle libertà civili di tutte le persone, a prescindere dalla nazionalità o dal Paese di residenza. Inoltre le attività devono essere condotte solo quando necessario per portare avanti una accertata priorità di intelligence e solo nella misura e con modalità proporzionate a tale priorità.

• Imposizione di requisiti di trattamento:questo punto porta l’attenzione all’obbligo di possedere determinati requisiti per poter trattare informazioni e dati personali attraverso attività di intelligence ed estende le responsabilità legali e di controllo su funzionari per garantire che vengano intraprese azioni appropriate al fine di rimediare agli episodi di non conformità alla normativa di protezione dei dati personali;

• Aggiornamento delle politiche delle agenzie di intelligence degli Stati Uniti;

• Creare un meccanismo a più livelli:per consentire ai cittadini di ottenere un controllo in merito al trattamento dei dati personali e un risarcimento qualora il trattamento effettuato dalle agenzie di intelligence siano stati raccolti in violazione della normativa privacy applicabile, compreso l’Ordine esecutivo firmato da Biden;

Come funziona il meccanismo a più livelli di protezione previsto dall’Executive Order?

Nel primo livello di protezione:

Vi sarà un funzionario, incaricato per la protezione delle libertà civili, presso l’Ufficio del direttore dell’intelligence nazionale (CLPO)  che condurrà un’indagine iniziale sui reclami ricevuti per verificare la violazione o meno della normativa sulla privacy americana e per determinarne il rimedio più consono relativamente all’eventuale danno subito.

Questa decisione del CLPO sarà  poi vincolante per tutte  le agenzie di intelligence governative.

Nel secondo livello di protezione:

Qui è previsto un vero e proprio Tribunale di revisione sulla gestione dei dati personali (DPRC).

Quest’ultimo ha lo scopo di fornire una analisi indipendente e vincolante delle decisioni del CLPO, su richiesta della persona fisica coinvolta o della agenzia di intelligence governativa.

Ogni Tribunale ha i suoi giudici.

Quelli previsto per questo Tribunale saranno nominati al di fuori del governo degli Stati Uniti e saranno esperti nel campo della privacy e della sicurezza nazionale, esaminando i casi in modo indipendente e godendo di una protezione contro la loro rimozione.

E’ inoltre prevista la nomina, da parte del Tribunale, di un avvocato, esperto in privacy, che difenderà l’interesse del denunciante in giudizio.

Cosa spetta adesso alla Commissione Europea?

Ora che è stato emato l’Executive Order, è il turno della Commissione Europea.

La Commissione, infatti, dovrà stilare una decisione di adeguatezza riguardante questo ordine esecutivo.

Dopodichè dovrà fare un passaggio con il Comitato europeo per la protezione dei dati e con i singoli stati membri ed infine pubblicare la propria decisione nella gazzetta ufficiale dell’unione europea.

Se la decisione della Commissione Europea risulterà favorevole:

• il problema viene risolto e le aziende possono riprendere a trasferire dati degli utenti negli USA.  

Questa decisione però potrebbe anche essere “confutata”dagli stessi cittadini europei.

L’avvocato Maximilian Schrems, che già in precedenza si era opposto alle decisioni di adeguatezza della Commissione Europea, potrebbe, con un’azione giuridica formale, andare contro anche a questa.

Quando sarà pubblicata la decisione della Commissione Europea nella gazzetta ufficiale?

Possiamo aspettarci la pubblicazione della decisione della Commissione Europea verso fine 2022 o entro l’inizio del 2023.

Nel frattempo la situazione per le aziende e per gli utenti di GA4 rimane sostanzialmente invariata.