Noyb e Ordine Esecutivo del 7 ottobre 2022 del Presidente Biden è un binomio sul quale è necessario fare oggi una riflessione.

La prima domanda da porsi è cosa sia Noyb. Quindi, è necessario capire quali siano le caratteristiche di un ordine esecutivo di un Presidente degli USA. Infine, si rende necessario capire il rapporto tra Noyb e questo particolare Ordine Esecutivo.

Noyb

Si tratta di un’organizzazione no profit paneuropea di avvocati ed esperti in ambito privacy, il cui esponente più famoso nonché Presidente Onorario è Max Schrems.

noyb utilizza le migliori pratiche dei gruppi per i diritti dei consumatori, degli attivisti della privacy, degli hacker e delle iniziative tecnologiche legali e le fonde in una piattaforma europea stabile per l’applicazione della legge. Insieme alle molte nuove possibilità di applicazione della normativa UE sulla protezione dei dati (GDPR), noyb è in grado di presentare casi di privacy in modo molto più efficace di prima.

Molto interessanti e complessi sono i progetti che l’associazione sta portando avanti, nonché le pubblicazioni che ha reso disponibili. Il report annuale 2021 dell’associazione sottolinea come

In 2021, noyb’s strategic focus was on cookie banners, online tracking and ‘dark patterns’, meaning how users are tricked into accepting online tracking by deceptive and unlawful cookie banners.

Nel 2021, il focus strategico di Noyb è stato incentrato sui cookie banners, sul tracciamento online e sui ‘dark patterns’, in pratica sul come gli utenti sono indotti ad accettare il monitoraggio online da banner cookie ingannevoli e illegali.

Temi decisamente caldi che su queste pagine più volte sono tornati alla ribalta. Altri come i cookie wall sono stati oggetto di attenzione nello scorso anno (in Italia se ne sta parlando solo in queste settimane, siamo sempre in ritardo)

Max Schrems

Di Max Schrems molte cose sono note: da sempre in ambito privacy rappresenta una sorta di spauracchio (più che positivo) per le Data Protection Authority europee, che a volte rischiano di strizzare l’occhio alle grandi aziende americane. Il rischio che le sedi europee delle Big diventino motivo di imbarazzo per i garanti esiste, basti ricordare ad esempio la richiesta di aumentare la sanzione a Whatsapp fatta da vari garanti europei a quello irlandese.

Schrems stesso racconta in questo breve video alcuni degli aspetti primari del lavoro che viene svolto da Noyb.

Tra le varie situazioni per le quali questo ragazzo austriaco di trentacinque anni è assurto agli onori delle cronache sicuramente troviamo la sentenza Schrems II (o C-311/18 se preferite la sua denominazione legale) di cui abbiamo parlato in moltissime occasioni.

Ordine esecutivo

Vediamone le caratteristiche principali.

Un ordine esecutivo (in inglese: executive order) è un provvedimento firmato dal Presidente degli Stati Uniti d’America che indirizza le politiche esecutive delle agenzie del Governo federale degli Stati Uniti d’America.

Gli ordini esecutivi hanno forza di legge quando vengono emessi da un’autorità legislativa che delega questo potere all’esecutivo: il Congresso può demandare con una legge delega (delegated legislation) una parte dei propri poteri.

ancora

executive orders are subject to judicial review and may be overturned if the orders lack support by statute or the Constitution. Some policy initiatives require approval by the legislative branch, but executive orders have significant influence over the internal affairs of government

gli ordini esecutivi sono soggetti a revisione giudiziaria e possono essere ribaltati se non sono supportati dalla legge o dalla Costituzione. Alcune iniziative politiche richiedono l’approvazione del ramo legislativo, ma gli ordini esecutivi hanno un’influenza significativa sugli affari interni del governo

Insomma, un provvedimento dell’esecutivo (che negli States ha ampi spazi di manovra in tal senso) volto a mettere spesso in atto accordi internazionali.

La posizione di Noyb

Relativamente al’EO la posizione di Schrems e della sua organizzazione appare fin troppo chiara: un EO non è un atto di legge, non ha la medesima forza. Inoltre, il potere giudiziario potrebbe invalidarlo se fosse contrario alle leggi o alla Costituzione statunitense (ma non è questo il caso). Quindi, il problema è che sia stata scelta una forma debole per dare riscontro alle richieste dell’UE.

Soprattutto Noyb sostiene che

non vi è alcuna indicazione che la sorveglianza di massa negli Stati Uniti cambierà nella pratica. La cosiddetta “sorveglianza di massa” continuerà con il nuovo ordine esecutivo

Questo perché l’EO offre una evidente scappatoia alle Agenzie quando sostiene nella sezione 2 (c) (ii) che di fatto la raccolta massiva dei cosiddetti segnali di intelligence può avvenire laddove si ravvisino pericoli inerenti:

  1. terrorismo
  2. spionaggio
  3. possesso di armi di distruzione di massa
  4. minacce informatiche
  5. minace al personale USA
  6. crimini transnazionali anche finanziari

Certamente un elenco sufficientemente vago da lasciare ampi margini di manovra alla raccolta di massa di informazione, sostiene Noyb.

A questo dobbiamo aggiungere la posizione fortemente critica relativamente alla Data Protection Review Court che l’EO costituisce.

non si tratterà di una “Corte” nel normale significato giuridico dell’articolo 47 della Carta o della Costituzione degli Stati Uniti, ma di un organo del ramo esecutivo del governo statunitense. Il nuovo sistema è una versione aggiornata del precedente sistema “Ombudsperson”, già respinto dalla CGUE. Sembra chiaro che questo organo esecutivo non equivarrebbe a un “ricorso giudiziario” come richiesto dalla Carta dell’UE.

Insomma, la posizione dell’associazione è estremamente chiara e non a caso il suo Presidente Onorario ha già ventilato di portare la questione alla Corte di Giustizia dell’Unione Europea lasciando intravedere la possibilità di una sentenza Schrems III.

La posizione di Bruno Gencarelli

Bruno Gencarelli, European Commission Head of International Data Flows and Protection, che ha seguito tutto il processo che ha portato all’emissione dell’Ordine Esecutivo del 7 ottobre, ha replicato a Schrems, in relazione all’istituzione della Corte per la revisione della protezione dei dati, affermando che il nuovo istituto

is significantly different, even recognized by the most critical voices, from what we had before. It’s a framework that has many pieces and we’re bringing all these pieces together.

How long this process will take will depend very much on the different interactions we have to have with our institutional interlocuters. With recent adequacy decisions, it took about four to six months. I’m sure there will be lively discussion … and this is important for (involved parties), so they’ll probably (finish) sometime in the spring of next year. (Fonte IAPP)

è significativamente diverso, come persino riconosciuto dalle voci più critiche, da quello che avevamo prima. È un quadro che ha molti pezzi e noi li stiamo mettendo insieme.
La durata di questo processo dipenderà molto dalle diverse interazioni che dovremo avere con i nostri interlocutori istituzionali. Con le recenti decisioni sull’adeguatezza, ci sono voluti dai quattro ai sei mesi. Sono sicuro che ci saranno discussioni vivaci… e questo è importante per (le parti coinvolte), quindi probabilmente (finiranno) nella primavera del prossimo anno.

Le parole di Gencarelli danno sostanza alle ipotesi che su queste pagine avevamo ventilato per una possibile decisione di adeguatezza (o un no alla stessa) degli Stati Uniti intorno a marzo 2023.

Le limitazioni alla raccolta massiva

Va posto in evidenza anche un altro aspetto che va nella direzione opposta a quella evidenziata da Noyb. Vale a dire che l’EO introduce delle limitazioni precise precisamente nella sezione 2, (b) (ii) quando si parla di “Obiettivi proibiti”, per cui le attività di raccolta non possono avere lo scopo di:

  1. sopprimere differenti opinioni e dissenso politico;
  2. sopprimere o limitare gli interessi legittimi alla privacy;
  3. sopprimere o limitare il diritto al ricorso legale;
  4. svantaggiare le persone in base alla loro etnia, razza, sesso, identità di genere, orientamento sessuale o religione;
  5. Non è un obiettivo legittimo raccogliere informazioni commerciali private straniere o segreti commerciali per offrire un vantaggio competitivo alle aziende e ai settori commerciali statunitensi.

Certamente potremmo affermare che anche qui l’enunciazione sia troppo vaga, tuttavia esiste e costituisce un punto di leva contro eventuali violazioni.

Ma quindi?

Difficile dire dove finiremo, al momento. La situazione più plausibile è una decisione di adeguatezza nella primavera del 2023, con una conseguente offensiva di Noyb con ricorso alla Corte di Giustizia. Lì saremo nelle mani dei giudici.

La decisione della Corte sarà una delle più difficili mai prese, con dei profondi impatti sia politici che sopratutto economici in un momento in cui le imprese faticano a non sprofondare. Il nuovo blocco del flusso di dati verso gli USA sarebbe una mazzata troppo forte e come già più volte messo in evidenza potrebbe mandare veramente in crisi la fiducia nel GDPR e nel framework legale che gli inizia a ruotare attorno.

D’altro canto anche una decisione a favore dello scambio dei dati con gli USA potrebbe essere foriera di conseguenze poco sane, laddove le critiche mosse da Schrems e Noyb all’Ordine Esecutivo fossero fondate.

Il rischio oggettivo, e nemmeno troppo latente, è quello di invalidare di fatto il GDPR in nome dell’economia. E allora tanto valeva averlo scritto.

Jaera team

Jaera team

Jaera S.r.l. si occupa di consulenza aziendale in ottica compliance e di nomina di specifiche funzioni aziendali, di consulenza in informatica e formazione.