Il Dipartimento della Sicurezza Interna degli Stati Uniti (DHS) ha avviato la procedura per modificare radicalmente il sistema ESTA, previsto dal Visa Waiver Program, introducendo una serie di nuovi requisiti informativi dal peso specifico non trascurabile.

L’elenco è di quelli che non passano inosservati: profili social utilizzati negli ultimi cinque anni, indirizzi e-mail degli ultimi dieci, numeri di telefono personali e di lavoro, dati anagrafici e recapiti dei familiari, fotografie biometriche, impronte digitali, scanner dell’iride, fino alla richiesta più controversa: il DNA.

Se approvata, la riforma trasformerebbe l’ESTA in una forma di pre-screening massivo che supera l’ordinaria logica del controllo doganale, configurandosi come una raccolta sistemica di informazioni personali — anzi, personalissime — su milioni di cittadini di Paesi alleati, tra cui l’Italia.

La questione è semplice: per entrare negli Stati Uniti come turista, lo Stato ospitante può decidere condizioni e modalità.

La risposta europea, però, potrebbe essere altrettanto semplice, sotto il cappello protettivo del Regolamento sulla protezione dei dati personali: va tutto bene, purché tali modalità non impongano ai cittadini europei un sacrificio dei propri diritti fondamentali sproporzionato, inutile o discriminatorio rispetto alle finalità dichiarate.

Ed è proprio qui che nasce il nodo giuridico.

1. Le nuove richieste ESTA: che cosa cambierebbe

Secondo la proposta pubblicata nel Federal Register, l’amministrazione statunitense intende modificare il processo di ottenimento dell’ESTA inserendo una serie di richieste molto puntuali ed approfondite, quali: elenco dei profili social usati negli ultimi cinque anni;

elenco degli indirizzi e-mail usati negli ultimi dieci anni;

numeri di telefono personali e lavorativi degli ultimi cinque anni;

dati anagrafici e contatti dei familiari, sempre per gli ultimi cinque anni;

raccolta estesa di dati biometrici (impronte, riconoscimento facciale, iride);

eventuale profilazione genetica tramite DNA , con finalità dichiarate di sicurezza e identificazione;

Il quadro che emerge è quello di una sorveglianza preventiva rivolta non a soggetti sospetti, ma a chiunque voglia mettere piede sul suolo americano per tre settimane a New York, un road trip in California o una conferenza a Boston.

2. L’argomento preferito: “tanto non ho niente da nascondere”

La frase è così ricorrente da essere diventata, per chi si occupa di privacy, una sorta di rito apotropaico: bisogna ascoltarla, sospirare e smontarla con calma zen.

L’idea che la protezione dei dati riguardi solo chi ha qualcosa da nascondere è giuridicamente falsa, tecnicamente infondata e culturalmente pericolosa.



2.1 La privacy non tutela i segreti, tutela il potere

Lo ha ricordato più volte la dottrina europea e lo hanno ribadito varie sentenze della Corte di giustizia: la protezione dei dati personali serve a limitare l’asimmetria di potere tra chi raccoglie informazioni e chi le subisce. È un argine, non una coperta.

Consegnare allo Stato ospitante la nostra storia digitale degli ultimi cinque anni, la mappa delle nostre relazioni, la nostra identità biometrica e financo il nostro DNA significa attribuirgli un potere enorme, permanente e difficilmente reversibile.

Non serve avere “qualcosa da nascondere”: basta avere una vita.



2.2 La Carta dei diritti fondamentali UE (art. 7 e 8)

Il diritto alla protezione dei dati è un diritto autonomo, distinto dalla privacy, non condizionato da sospetti o comportamenti da celare.

È un diritto che tutela la libertà personale, la dignità, l’autodeterminazione, la possibilità di vivere senza essere profilati in modo sistemico. L’idea che chi non ha segreti non debba temere la sorveglianza sarebbe, per l’ordinamento europeo, semplicemente incompatibile con la struttura dei diritti fondamentali.



2.3 La giurisprudenza CEDU e CGUE

I giudici europei sono stati costantemente chiari: la sorveglianza preventiva e indiscriminata è incompatibile con il diritto europeo, anche quando dichiarata come misura di sicurezza, concetto squisitamente politico e ben poco giuridico;

con il diritto europeo, anche quando dichiarata come misura di sicurezza, concetto squisitamente politico e ben poco giuridico; le deroghe devono essere eccezionali, proporzionate, motivate, e soprattutto mirate ;

; la raccolta massiva e generalizzata di dati sensibili (DNA incluso) supera ampiamente la soglia del necessario.

3. Il GDPR: perché l’ESTA, così formulato, porrebbe problemi enormi

Il GDPR non si applica ovviamente alle autorità statunitensi, ma si applica a chi trasferisce i dati, e quindi ai cittadini europei, alle compagnie aeree, ai tour operator e alle piattaforme che facilitano la richiesta. Ed è così che potrebbero sorgere tre questioni giuridiche fondamentali.



3.1 Trasferimento verso Paese terzo senza garanzie adeguate

Dopo la sentenza Schrems II, è noto che: gli Stati Uniti non hanno beneficiato più di un quadro di equivalenza automatico per molto tempo. È successivamente intervenuta la decisione di adeguatezza, ma quanto reggerebbe tale decisione di fronte a una raccolta di dati di tale portata per un viaggio turistico (che peraltro potrebbe includere anche minori)?

il trasferimento richiede tutele supplementari , difficili, se non impossibili, da applicare a dati così sensibili;

, difficili, se non impossibili, da applicare a dati così sensibili; i dati genetici rientrano nelle categorie particolari (art. 9 GDPR) e richiedono misure rafforzate: trasferire il proprio DNA per ottenere un permesso turistico supera qualsiasi test di proporzionalità. 3.2 Violazione del principio di minimizzazione

Il principio è chiaro: i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità.

Ora, davvero è “necessario” conoscere le e-mail usate dieci anni fa, il numero di telefono dell’ex collega con cui non abbiamo più rapporti e la nostra mappa genetica per verificare che vogliamo visitare lo Yosemite?

La risposta giuridica, tecnica e di buon senso non può che essere negativa.



3.3 La profilazione sistemica come prassi amministrativa

L’uso dei social degli ultimi cinque anni consente analisi del comportamento, ricostruzione delle reti sociali, profilazione politica, analisi delle interazioni emotive, inferenze su salute, orientamento sessuale, convinzioni religiose.

Si tratta di profilazioni implicite, che il GDPR disciplina in modo stringente.

In Europa verrebbero vietate o rigidamente limitate — non usate come prassi pre-contenimento all’ingresso.



4. Social, DNA e potere predittivo: perché la questione riguarda tutti

Affermare che “tanto non ho niente da nascondere” trascura un dato fondamentale: i dati non servono a capire chi sei, ma a prevedere cosa farai.

E i dati genetici, biometrici e comportamentali sono strumenti predittivi potentissimi. Non è l’informazione in sé a essere rischiosa: è ciò che altri possono dedurre, incrociare, o utilizzare in futuro. Oggi per la sicurezza dei confini. Domani per qualcos’altro.

5. L’asimmetria tra UE e USA: una differenza culturale e giuridica

L’Unione europea ha costruito negli ultimi vent’anni un impianto robusto di tutela dei diritti digitali.

Gli Stati Uniti, al contrario non hanno un diritto federale sulla protezione dei dati comparabile al GDPR, adottano un modello securitario fondato sulla massimizzazione dell’informazione e trattano la raccolta dei dati come strumento amministrativo ordinario, non come potenziale rischio per i diritti fondamentali.

Chi sostiene che “non ho nulla da nascondere” dimentica un elemento essenziale: il sistema statunitense non limita l’uso dei dati in modo paragonabile a quello europeo.

Significa che ciò che oggi è raccolto per controllare i confini potrebbe, domani, essere utilizzato in altri contesti. E non è un’opinione che ha a che fare con lo schieramento o colo pensiero politico, è una questione giuridica e normativa.

6. Conseguenze pratiche per i cittadini europei

Se la riforma dovesse entrare in vigore molti cittadini potrebbero scegliere di non viaggiare negli Stati Uniti. Le compagnie aeree e gli intermediari dovrebbero rivedere informative e procedure di trasferimento dati, i DPO delle aziende con sedi USA dovrebbero valutare rischi e adempimenti aggiuntivi, i garanti europei potrebbero intervenire su base nazionale per fornire orientamenti specifici.

Non è una novità: era già accaduto con il Passenger Name Record, con le liste di controllo e con la sorveglianza elettronica dei voli transatlantici.

Oggi, tuttavia, la scala del fenomeno è diversa e riguarda una quantità di dati senza precedenti.

7. Conclusioni: perché la questione non è “personale”, è sistemica

La tentazione di liquidare tutto come “eccesso di zelo americano” è rassicurante, ma infondata. Ciò che è in gioco è la tenuta dei diritti digitali europei in un contesto globale che li sfida apertamente.

Non è questione di tutelare segreti, vite scandalose, post imbarazzanti su Facebook o ex fidanzati dal passato tumultuoso.

È questione di limitare i poteri di ingerenza dello Stato nella vita privata (già solo scriverla, questa frase, fa risuonare echi di un passato recente da brivido), di proporzionalità delle misure, di protezione dello spazio di libertà individuale.

Se chiunque dovesse consegnare cinque anni di vita digitale e il proprio DNA per entrare in un Paese amico, allora il tema non è “ho qualcosa da nascondere”. Il tema è: fino a che punto siamo disposti a normalizzare la rinuncia ai nostri diritti per comodità, abitudine o rassegnazione.

La privacy non è un alibi per i colpevoli. È la condizione di libertà per gli innocenti.

E rinunciarvi senza resistenza, per un viaggio turistico, è esattamente il modo con cui i diritti muoiono: non con uno strappo violento, ma con una lunga serie di piccole concessioni.

