La recente estensione biennale della Sezione 702 del Foreign Intelligence Surveillance Act (FISA) ha intensificato le tensioni globali in materia di cybersecurity, specialmente in Europa. Originariamente concepita per rafforzare la sicurezza nazionale degli Stati Uniti, la Sezione 702 conferisce alle agenzie di intelligence americane poteri di sorveglianza estesi, permettendo loro di raccogliere, utilizzare e diffondere comunicazioni elettroniche archiviate da organizzazioni statunitensi senza mandato. Mentre ciò potrebbe servire agli interessi degli Stati Uniti, le implicazioni per la privacy dei dati europei sono considerevoli, specialmente alla luce di normative come il GDPR e il verdetto Schrems II.
Il rinnovo e l'espansione della Sezione 702, ora applicabile a qualsiasi azienda con infrastrutture collegate a Internet, avvicina l'Europa a una possibile resa dei conti sulla sovranità della cybersecurity. La Sezione 702 trasforma le imprese con accesso alla trasmissione o archiviazione di comunicazioni in potenziali strumenti dell'apparato di sorveglianza del governo USA. Questo crea un dilemma per le organizzazioni e gli individui europei i cui dati potrebbero essere archiviati o elaborati da società americane. Secondo il GDPR, il trasferimento di dati personali al di fuori dell'Europa è permesso solo se il paese destinatario offre un livello di protezione "adeguato", uno standard che gli Stati Uniti non soddisfano a causa dei poteri di sorveglianza della FISA.
Il caso Schrems II
Il caso Schrems II ha messo in luce questo problema, invalidando il Privacy Shield, un precedente tentativo di regolamentare i flussi di dati transatlantici. Il successore del Privacy Shield, il Data Privacy Framework, è già sotto scrutinio e molti sostengono che non risolva i problemi fondamentali sollevati da Schrems II. La fragilità del DPF diventa ancora più evidente con il rinnovo della Sezione 702, e la possibilità di una nuova sfida legale, simile a un "Schrems III", potrebbe nuovamente sconvolgere i meccanismi legali che facilitano i trasferimenti di dati tra Europa e USA.
Le conseguenze del rinnovo della FISA vanno oltre le sfide legali; minano la fiducia tra i consumatori europei e le aziende tecnologiche statunitensi. Col crescere della preoccupazione per l'esposizione dei dati alla sorveglianza USA, le aziende europee potrebbero riconsiderare le partnership con fornitori americani, portando a significative interruzioni nel commercio transatlantico. Inoltre, le autorità regolatorie europee potrebbero rispondere con controlli più severi sui trasferimenti di dati verso gli Stati Uniti. Questo potrebbe complicare i flussi di dati transfrontalieri, imponendo ulteriori oneri di conformità alle aziende che operano in entrambe le regioni.
Movimento verso la sovranità della cybersecurity
La FISA potrebbe involontariamente stimolare un movimento verso una maggiore sovranità della cybersecurity in Europa. La sovranità digitale, l'idea che uno stato debba avere il controllo sui propri dati e infrastrutture digitali, sta guadagnando terreno come risposta al percepito eccesso di sorveglianza delle leggi americane. Garantendo che i dati rimangano entro i confini europei e sotto la giurisdizione delle leggi europee, i paesi possono proteggere meglio la privacy dei cittadini e mantenere il controllo sui propri beni digitali.