Il Dipartimento della Sicurezza Interna degli Stati Uniti (DHS) ha avviato la procedura per modificare radicalmente il sistema ESTA, previsto dal Visa Waiver Program, introducendo una serie di nuovi requisiti informativi dal peso specifico non trascurabile.
L’elenco è di quelli che non passano inosservati: profili social utilizzati negli ultimi cinque anni, indirizzi e-mail degli ultimi dieci, numeri di telefono personali e di lavoro, dati anagrafici e recapiti dei familiari, fotografie biometriche, impronte digitali, scanner dell’iride, fino alla richiesta più controversa: il DNA.
Se approvata, la riforma trasformerebbe l’ESTA in una forma di pre-screening massivo che supera l’ordinaria logica del controllo doganale, configurandosi come una raccolta sistemica di informazioni personali — anzi, personalissime — su milioni di cittadini di Paesi alleati, tra cui l’Italia.
La questione è semplice: per entrare negli Stati Uniti come turista, lo Stato ospitante può decidere condizioni e modalità.
La risposta europea, però, potrebbe essere altrettanto semplice, sotto il cappello protettivo del Regolamento sulla protezione dei dati personali: va tutto bene, purché tali modalità non impongano ai cittadini europei un sacrificio dei propri diritti fondamentali sproporzionato, inutile o discriminatorio rispetto alle finalità dichiarate.
Ed è proprio qui che nasce il nodo giuridico. In materia di cybersicurezza, abbiamo organizzato il corso Linee guida per la governance dei dati e dell’intelligenza artificiale. Abbiamo anche pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon
Indice
- 1. Le nuove richieste ESTA: che cosa cambierebbe
- 2. L’argomento preferito: “tanto non ho niente da nascondere”
- 3. Il GDPR: perché l’ESTA, così formulato, porrebbe problemi enormi
- 4. Social, DNA e potere predittivo: perché la questione riguarda tutti
- 5. L’asimmetria tra UE e USA: una differenza culturale e giuridica
- 6. Conseguenze pratiche per i cittadini europei
- 7. Conclusioni: perché la questione non è “personale”, è sistemica
- Formazione in materia per professionisti
- Vuoi ricevere aggiornamenti costanti?
1. Le nuove richieste ESTA: che cosa cambierebbe
Secondo la proposta pubblicata nel Federal Register, l’amministrazione statunitense intende modificare il processo di ottenimento dell’ESTA inserendo una serie di richieste molto puntuali ed approfondite, quali:
- elenco dei profili social usati negli ultimi cinque anni;
- elenco degli indirizzi e-mail usati negli ultimi dieci anni;
- numeri di telefono personali e lavorativi degli ultimi cinque anni;
- dati anagrafici e contatti dei familiari, sempre per gli ultimi cinque anni;
- raccolta estesa di dati biometrici (impronte, riconoscimento facciale, iride);
- eventuale profilazione genetica tramite DNA, con finalità dichiarate di sicurezza e identificazione;
- sostituzione del portale web con un’app mobile per acquisire immagini ad alta qualità e verificare l’identità del richiedente.
Il quadro che emerge è quello di una sorveglianza preventiva rivolta non a soggetti sospetti, ma a chiunque voglia mettere piede sul suolo americano per tre settimane a New York, un road trip in California o una conferenza a Boston. In materia abbiamo anche pubblicato la seconda edizione del Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon
Formulario commentato della privacy
La nuova edizione dell’opera affronta con taglio pratico gli aspetti sostanziali e procedurali del trattamento dei dati personali alla luce delle nuove sfide poste dall’evoluzione normativa e tecnologica degli ultimi due anni. La disciplina di riferimento è commentata tenendo conto dei rilevanti interventi a livello europeo e nazionale (tra cui le Linee Guida EDPB, i regolamenti AI Act e DORA, l’attuazione della direttiva NIS 2), offrendo al Professionista una guida completa e aggiornata.Il libro è suddiviso in tredici sezioni, che coprono ogni aspetto della materia e tutti gli argomenti sono corredati da oltre 100 formule e modelli. Tra le novità più rilevanti:• Connessioni tra il nuovo AI Act e il GDPR, differenze tra FRIA e DPIA, valutazione dei rischi e incidenti• Gestione del personale: smart working, telelavoro e whistleblowing• Strumenti di monitoraggio: controlli a distanza dei lavoratori, cloud computing e gestione degli strumenti informatici in azienda• Tutela degli interessati: una guida completa su profilazione, processi decisionali automatizzati e sull’esercizio dei diritti• Strumenti di tutela: sanzioni, reclami, segnalazioni e ricorsi al Garante.Giuseppe CassanoDirettore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi.Enzo Maria Tripodiattualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici.Cristian ErcolanoPartner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2025
58.90 €
2. L’argomento preferito: “tanto non ho niente da nascondere”
La frase è così ricorrente da essere diventata, per chi si occupa di privacy, una sorta di rito apotropaico: bisogna ascoltarla, sospirare e smontarla con calma zen.
L’idea che la protezione dei dati riguardi solo chi ha qualcosa da nascondere è giuridicamente falsa, tecnicamente infondata e culturalmente pericolosa.
2.1 La privacy non tutela i segreti, tutela il potere
Lo ha ricordato più volte la dottrina europea e lo hanno ribadito varie sentenze della Corte di giustizia: la protezione dei dati personali serve a limitare l’asimmetria di potere tra chi raccoglie informazioni e chi le subisce. È un argine, non una coperta.
Consegnare allo Stato ospitante la nostra storia digitale degli ultimi cinque anni, la mappa delle nostre relazioni, la nostra identità biometrica e financo il nostro DNA significa attribuirgli un potere enorme, permanente e difficilmente reversibile.
Non serve avere “qualcosa da nascondere”: basta avere una vita.
2.2 La Carta dei diritti fondamentali UE (art. 7 e 8)
Il diritto alla protezione dei dati è un diritto autonomo, distinto dalla privacy, non condizionato da sospetti o comportamenti da celare.
È un diritto che tutela la libertà personale, la dignità, l’autodeterminazione, la possibilità di vivere senza essere profilati in modo sistemico. L’idea che chi non ha segreti non debba temere la sorveglianza sarebbe, per l’ordinamento europeo, semplicemente incompatibile con la struttura dei diritti fondamentali.
2.3 La giurisprudenza CEDU e CGUE
I giudici europei sono stati costantemente chiari:
- la sorveglianza preventiva e indiscriminata è incompatibile con il diritto europeo, anche quando dichiarata come misura di sicurezza, concetto squisitamente politico e ben poco giuridico;
- le deroghe devono essere eccezionali, proporzionate, motivate, e soprattutto mirate;
- la raccolta massiva e generalizzata di dati sensibili (DNA incluso) supera ampiamente la soglia del necessario.
3. Il GDPR: perché l’ESTA, così formulato, porrebbe problemi enormi
Il GDPR non si applica ovviamente alle autorità statunitensi, ma si applica a chi trasferisce i dati, e quindi ai cittadini europei, alle compagnie aeree, ai tour operator e alle piattaforme che facilitano la richiesta. Ed è così che potrebbero sorgere tre questioni giuridiche fondamentali.
3.1 Trasferimento verso Paese terzo senza garanzie adeguate
Dopo la sentenza Schrems II, è noto che:
- gli Stati Uniti non hanno beneficiato più di un quadro di equivalenza automatico per molto tempo. È successivamente intervenuta la decisione di adeguatezza, ma quanto reggerebbe tale decisione di fronte a una raccolta di dati di tale portata per un viaggio turistico (che peraltro potrebbe includere anche minori)?
- il trasferimento richiede tutele supplementari, difficili, se non impossibili, da applicare a dati così sensibili;
- i dati genetici rientrano nelle categorie particolari (art. 9 GDPR) e richiedono misure rafforzate: trasferire il proprio DNA per ottenere un permesso turistico supera qualsiasi test di proporzionalità.
3.2 Violazione del principio di minimizzazione
Il principio è chiaro: i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità.
Ora, davvero è “necessario” conoscere le e-mail usate dieci anni fa, il numero di telefono dell’ex collega con cui non abbiamo più rapporti e la nostra mappa genetica per verificare che vogliamo visitare lo Yosemite?
La risposta giuridica, tecnica e di buon senso non può che essere negativa.
3.3 La profilazione sistemica come prassi amministrativa
L’uso dei social degli ultimi cinque anni consente analisi del comportamento, ricostruzione delle reti sociali, profilazione politica, analisi delle interazioni emotive, inferenze su salute, orientamento sessuale, convinzioni religiose.
Si tratta di profilazioni implicite, che il GDPR disciplina in modo stringente.
In Europa verrebbero vietate o rigidamente limitate — non usate come prassi pre-contenimento all’ingresso.
Potrebbero interessarti anche:
4. Social, DNA e potere predittivo: perché la questione riguarda tutti
Affermare che “tanto non ho niente da nascondere” trascura un dato fondamentale: i dati non servono a capire chi sei, ma a prevedere cosa farai.
E i dati genetici, biometrici e comportamentali sono strumenti predittivi potentissimi. Non è l’informazione in sé a essere rischiosa: è ciò che altri possono dedurre, incrociare, o utilizzare in futuro. Oggi per la sicurezza dei confini. Domani per qualcos’altro.
5. L’asimmetria tra UE e USA: una differenza culturale e giuridica
L’Unione europea ha costruito negli ultimi vent’anni un impianto robusto di tutela dei diritti digitali.
Gli Stati Uniti, al contrario non hanno un diritto federale sulla protezione dei dati comparabile al GDPR, adottano un modello securitario fondato sulla massimizzazione dell’informazione e trattano la raccolta dei dati come strumento amministrativo ordinario, non come potenziale rischio per i diritti fondamentali.
Chi sostiene che “non ho nulla da nascondere” dimentica un elemento essenziale: il sistema statunitense non limita l’uso dei dati in modo paragonabile a quello europeo.
Significa che ciò che oggi è raccolto per controllare i confini potrebbe, domani, essere utilizzato in altri contesti. E non è un’opinione che ha a che fare con lo schieramento o colo pensiero politico, è una questione giuridica e normativa.
6. Conseguenze pratiche per i cittadini europei
Se la riforma dovesse entrare in vigore molti cittadini potrebbero scegliere di non viaggiare negli Stati Uniti. Le compagnie aeree e gli intermediari dovrebbero rivedere informative e procedure di trasferimento dati, i DPO delle aziende con sedi USA dovrebbero valutare rischi e adempimenti aggiuntivi, i garanti europei potrebbero intervenire su base nazionale per fornire orientamenti specifici.
Non è una novità: era già accaduto con il Passenger Name Record, con le liste di controllo e con la sorveglianza elettronica dei voli transatlantici.
Oggi, tuttavia, la scala del fenomeno è diversa e riguarda una quantità di dati senza precedenti.
7. Conclusioni: perché la questione non è “personale”, è sistemica
La tentazione di liquidare tutto come “eccesso di zelo americano” è rassicurante, ma infondata. Ciò che è in gioco è la tenuta dei diritti digitali europei in un contesto globale che li sfida apertamente.
Non è questione di tutelare segreti, vite scandalose, post imbarazzanti su Facebook o ex fidanzati dal passato tumultuoso.
È questione di limitare i poteri di ingerenza dello Stato nella vita privata (già solo scriverla, questa frase, fa risuonare echi di un passato recente da brivido), di proporzionalità delle misure, di protezione dello spazio di libertà individuale.
Se chiunque dovesse consegnare cinque anni di vita digitale e il proprio DNA per entrare in un Paese amico, allora il tema non è “ho qualcosa da nascondere”. Il tema è: fino a che punto siamo disposti a normalizzare la rinuncia ai nostri diritti per comodità, abitudine o rassegnazione.
La privacy non è un alibi per i colpevoli. È la condizione di libertà per gli innocenti.
E rinunciarvi senza resistenza, per un viaggio turistico, è esattamente il modo con cui i diritti muoiono: non con uno strappo violento, ma con una lunga serie di piccole concessioni.
Formazione in materia per professionisti
Linee guida per la governance dei dati e dell’intelligenza artificiale
Un ciclo di quattro incontri per tradurre le norme su AI e protezione dei dati in procedure operative concrete. Dalla definizione delle policy alla costruzione del reporting e delle linee guida interne, il webinar offre ai professionisti della compliance strumenti immediatamenti applicabili:
• Basi giuridiche e accountability documentale: principi applicabili ai trattamenti tipici dell’ufficio legale, distinzione fra esigenze legali, difensive e operative, mappatura end-to-end del flusso “revisione clausole contrattuali” ed errori frequenti con relative contromisure.
• Criteri e controllo dei risultati: accettazione dei risultati di analisi e AI, registrazione dei casi d’uso e delle verifiche, esempi pratici di analytics.
• KPI, reporting e governance del dato: definizione e monitoraggio degli indicatori, progettazione di dashboard efficaci e policy interne per garantire tracciabilità e qualità dei dati.
• Integrazione AI e workflow aziendale: collegamento dell’AI con l’ecosistema aziendale, flusso “review automatizzata delle clausole” e linee guida “Uso dati e AI nell’ufficio legale”.
>>>Per info ed iscrizione<<<
Vuoi ricevere aggiornamenti costanti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento