Il 25 gennaio 2017, il quarantacinquesimo Presidente degli Stati Uniti d’America, Donald J. Trump, ha firmato l’Executive OrderEnhancing Public Safety in the Interior of the United States” (l’“Executive Order”) che potrebbe mettere a rischio l’operatività dello “Scudo UE–USA per la privacy” [1] (lo “Scudo privacy”), adottato dall’Unione Europea il 12 luglio 2016 ed entrato in vigore il 1° agosto 2016.

La sezione 14 dell’Executive Order, dedicata alla privacy, recita cosí:

… Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information ...”.

Viene quindi resa esplicita la volontà presidenziale di ridurre la tutela della privacy per tutte le persone che non dispongono della cittadinanza statunitense. Infatti, il Privacy Act [2] continuerà ad applicarsi solo nei confronti dei cittadini statunitensi.

Una tale presa di posizione ha immediatamente allarmato le Istituzioni europee. L’Europarlamentare Jan Philipp Albrecht [3] ha chiesto alla Commissione europea di sospendere immediatamente lo Scudo privacy e sanzionare gli Stati Uniti per aver violato l’Accordo tra gli Stati Uniti d’America e l’Unione europea sulla protezione delle informazioni personali a fini di prevenzione, indagine, accertamento e perseguimento di reati [4] (l’“Accordo quadro”).

Le prime prese di posizione della Commissione su questo argomento sono state presentate via email da una portavoce in risposta alle molteplici richieste di chiarimento da parte dei giornalisti. In base alle dichiarazioni della portavoce, la Commissione sta analizzando attentamente la questione, ma da una prima analisi si fa presente che lo Scudo privacy non ha mai previsto l’estensione ai cittadini europei dei diritti garantiti dal Privacy Act statunitense, di conseguenza, l’Executive Order non dovrebbe avere alcuna ripercussione sullo Scudo stesso.

Sarà invece necessario approfondire i possibili effetti dell’Executive Order sull’Accordo quadro, che dovrebbe entrare in vigore il 1° febbraio 2017, poiché esso prevede l’estensione ai cittadini dell’Unione dei diritti stabiliti nel Privacy Act e la possibilità di avviare azioni giudiziarie presso le Corti statunitensi.

L’atto con cui viene estesa l’applicabilità del Privacy Act ai cittadini dell’Unione è il Judicial Redress Act [5], approvato dal Congresso americano il 24 febbraio 2016 e promulgato dal Presidente Obama a fine 2016. Inoltre, sul Federal Register statunitense del 23 gennaio 2017 [6], appena tre giorni dopo l’insediamento del Presidente Trump alla Casa Bianca, è stata pubblicata una comunicazione dell’Attorney General con cui vengono designati i Paesi ai quali è estesa l’applicazione del Privacy Act, in accordo a quanto stabilito dal Judicial Redress Act, e le Agenzie statunitensi responsabili per l’implementazione dell’Accordo quadro.

Sulla base di quanto esposto sin qui, i presupposti legali per l’applicazione dello Scudo privacy e dell’Accordo quadro sembrerebbero essere presenti e, dunque, il flusso dei dati personali dall’UE agli Stati Uniti non dovrebbe essere minacciato. Tuttavia, le reali intenzioni dell’amministrazione Trump devono ancora essere comprese appieno, poiché, anche se l’Executive Order fosse stato emanato con la volontà di non mutare gli accordi in atto con l’Unione, va sottolineato che nella lista dei Paesi a cui si estende l’applicabilità del Privacy Act non compare il Canada. Ciò comporterebbe l’inapplicabilità dell’Executive Order (quindi una sostanziale riduzione della protezione dei dati personali) nei confronti dei cittadini di uno dei principali partner strategici degli Stati Uniti, una conseguenza politica di non poca rilevanza.

Per meglio comprendere la portata dell’Executive Order è bene sapere che gli ordini esecutivi sono  documenti firmati dal Presidente degli Stati Uniti d’America con cui vengono date istruzioni alle agenzie e ai dipartimenti governativi su come operare in una specifica area di interesse. La base giuridica degli ordini esecutivi si trova nell’Articolo II, Sezione I, paragrafo I, della Costituzione americana, secondo cui “... The executive power shall be vested in a President of the United States of America. He shall hold his office during the term of four years, and, together with the Vice President, chosen for the same term, be elected, as follows […]”.

L’articolo II non dà indicazioni precise su come gli ordini esecutivi debbano essere usati, per cui ciascun Presidente ne ha fatto l’uso che riteneva più appropriato. Gli ordini esecutivi non sono dei documenti di ampio respiro, come lo è di solito una legge, sono vincolanti e sono pubblicati nella Gazzetta Ufficiale del Governo, il Federal Register. Il Congresso non li deve approvare, ma non può neanche revocarli. Per contro, un ordine esecutivo non può ribaltare una decisione presa dal Congresso. Infatti, il potere legislativo in senso ampio rimane in seno a quest’ultimo. Il contenuto di un ordine esecutivo può essere revocato soltanto da un altro ordine esecutivo.

Lo Scudo privacy, comunemente definito “privacy shield”, è il sistema che dal 2016 ha sostituito il cosiddetto “safe harbour”, dichiarato invalido dalla Corte di giustizia dell’Unione europea il 6 ottobre 2015 [7]. Lo Scudo permette il trasferimento dei dati personali di cittadini dell’UE verso imprese aventi sede negli Stati Uniti con la garanzia che tali imprese assicureranno un’adeguata tutela dei dati trasferiti. Le imprese statunitensi che intendono avvalersi dello Scudo per il trasferimento dei dati dei loro clienti devono aderire al sistema iscrivendosi al Dipartimento del Commercio degli Stati Uniti che è responsabile per la gestione e l’amministrazione dello Scudo. Una volta iscritte nel sistema dello Scudo privacy, le imprese dovranno rispettare una serie di obblighi elencati nei “principi in materia di privacy” esposti nell’Allegato II della Decisione di esecuzione relativa allo Scudo privacy [8].