In una risoluzione adottata l’11 maggio 2023, con 306 voti a favore, 27 contrari e 231 astenuti, i deputati del Parlamento Europeo hanno affermato che la Commissione europea non dovrebbe concedere agli Stati Uniti una delibera di idoneità che giudichi il loro livello di protezione dei dati personali sostanzialmente equivalente a quello dell’UE e che consenta il trasferimento di dati personali tra l’UE e gli USA.
Il processo di adozione di tale delibera di idoneità era stato avviato dalla Commissione UE il 13 dicembre 2022. La bozza di tale documento concludeva che gli Stati Uniti garantivano un livello adeguato di protezione dei dati personali trasferiti dall’UE agli USA, sulla base di una valutazione approfondita del Data Privacy Framework stesso e dei suoi obblighi per le aziende, nonché delle limitazioni e delle salvaguardie sull’accesso da parte delle autorità pubbliche statunitensi ai dati trasferiti negli Stati Uniti, in particolare per scopi di applicazione della legge penale e di sicurezza nazionale.
Tale decisione prendeva in considerazione l’Ordine Esecutivo, firmato da Biden il 7 ottobre 2022, che prevedeva i seguenti punti:
- garanzie vincolanti che limitino l’accesso ai dati europei da parte delle autorità di intelligence statunitensi, ad eccezioni di ragioni di sicurezza nazionale;
- una maggiore supervisione delle attività di sorveglianza dei servizi di intelligence statunitensi;
- l’istituzione di un meccanismo di ricorso indipendente e imparziale, che comprende un nuovo tribunale per la revisione della protezione dei dati (DPRC) per salvaguardare i dati europei.
Indice degli argomenti
Le preoccupazioni del Parlamento UE
Proprio sull’istituzione di questa corte, i deputati europei hanno evidenziato come le sue decisioni sarebbero segrete, violando il diritto dei cittadini di accedere ai dati che li riguardano e di rettificarli.
Inoltre, il presidente degli Stati Uniti avrebbe il potere di invalidare tali decisioni, rendendo il Tribunale non propriamente indipendente.
Anche se l’European Data Protection Board (EDPB) ritiene che il nuovo accordo rappresenti un miglioramento significativo rispetto a quelli precedenti, le autorità europee hanno espresso preoccupazioni in merito a diversi punti:
- ai trasferimenti successivi di dati verso Paesi terzi;
- alla portata delle esenzioni al diritto di accesso;
- alla raccolta di dati in massa in certi casi specifici, per cui non è prevista un’autorizzazione preventiva indipendente;
- al fatto che l’ordine esecutivo consente, senza un’ordinanza del tribunale, alla conservazione e alla diffusione dei dati raccolti indiscriminatamente e sull’effettivo funzionamento del meccanismo di ricorso presso il DPRC.
Come si è arrivati al Data Privacy Framework
Come precedentemente evidenziato, il Data Privacy Framework rappresenta il terzo accordo stipulato tra Stati Uniti e Unione Europea sul trattamento e trasferimento di dati.
Nel luglio 2000, la Commissione europea aveva adottato una decisione che deliberava l’adeguatezza da parte degli Stati Uniti nell’offrire garanzie per la protezione dei dati. La decisione della Commissione si basava sull’accordo Safe Harbor, il quale consisteva in principi di protezione dei dati che le aziende americane potevano sottoscrivere volontariamente per poter effettuare trasferimenti transfrontalieri di dati con l’Unione.
Il 6 ottobre 2015 la Corte di giustizia europea emise una sentenza che dichiarò invalida la decisione della Commissione europea del 26 luglio 2000 sull’adeguatezza giuridica del Safe Harbor Framework. Tale decisione prese in considerazione le dichiarazioni dell’Avvocato generale che riteneva come l’accordo non fornisse la protezione giuridica richiesta dal diritto dell’UE e quindi “deve essere dichiarato invalido”.
Il Privacy Shield UE-USA
Il secondo accordo, noto come Privacy Shield UE-USA fu adottato dalla Commissione il 12 luglio 2016, con l’obbiettivo di migliorare l’accordo precedente, fornendo alle aziende di entrambe le sponde dell’Atlantico un meccanismo per conformarsi ai requisiti di protezione dei dati nel trasferimento transfrontaliero degli stessi.
Tra le altre cose, l’accordo prevedeva l’istituzione di un Ombudsman a cui indirizzare i reclami per il negligente trattamento dei dati personali, oltre a garantire un analogo livello di responsabilità.
Tuttavia, il Privacy Shield presentava molti degli stessi problemi del quadro Safe Harbor, tra cui l’affidamento all’autocertificazione da parte delle aziende statunitensi.
Di fatto, nella sentenza Schrems II del luglio 2020, la Corte di giustizia dell’Unione europea (CGUE) dichiarò invalido il Privacy Shield sulla base di due punti fondamentali: la non conformità delle pratiche di sorveglianza del governo statunitense nel contesto del GDPR e della Carta dei diritti fondamentali dell’UE; e la non indipendenza effettiva dell’Ombudsperson dal governo statunitense, il quale non era in grado di prendere decisioni vincolanti sulle autorità di sorveglianza.
Di fatto, questa consequenzialità nell’intervento della Corte di Giustizia Europea in questi accordi è determinata da differenza normativa, tra Stati Uniti e Unione Europea, non facilmente trascurabile.
Le nuove regole imposte dal GDPR
L’introduzione del Regolamento generale sulla protezione dei dati (GDPR), avvenuta nel maggio 2018, ha fissato uno standard elevato di protezione della privacy per le persone all’interno degli Stati membri dell’UE.
Le regole per la conformità al GDPR sono sostanziali e si basano su sette principi chiave: liceità, correttezza e trasparenza, limitazione delle finalità, minimizzazione dei dati, accuratezza, limitazione della conservazione, integrità e riservatezza (sicurezza) e responsabilità.
Inoltre, il GDPR impone restrizioni al trasferimento di dati personali al di fuori dell’Unione Europea, verso Paesi terzi o organizzazioni internazionali, per garantire che il livello di protezione delle persone, garantito dal GDPR, non venga compromesso (Capitolo V, articoli da 44 a 50).
Privacy, il nuovo corso negli USA in attesa di una legge federale: previsioni per il 2023
Bisogna superare la frammentazione delle leggi privacy USA
In America, invece, manca una legge completa sulla privacy dei dati che si applichi a tutti i tipi di dati e a tutte le aziende statunitensi, in quanto la legge adotta un approccio più frammentario con varie normative che disciplinano diversi settori e tipi di dati, tra cui: la legge federale sulla gestione della sicurezza delle informazioni (FISMA) e la legge sulla privacy dei consumatori della California (CCPA).
Tuttavia, tale frammentazione non garantisce lo stesso livello di privacy in tutto il territorio statunitense, dove l’uso dei dati personali a fini commerciali supera l’importanza della privacy.
Il CCPA, ad esempio, si applica alle entità che “fanno affari” in California, e non in un altro stato federale. Un altro esempio riguarda le definizioni di dati sensibili negli Stati Uniti, le quali si riferiscono a dati finanziari e a forti identificatori governativi, mentre i dati Europei definiti sensibili sono costruiti a partire da aree tematiche che possono influire sui diritti umani, ad esempio aree come la religione, la salute, la razza, l’etnia, le opinioni politiche, i dati biometrici o la genetica.
Non a caso, considerando come questi accordi siano incentrati sul trasferimento di dati a livello aziendale, nella sentenza Schrems II del luglio 2020, la Corte di giustizia dell’Unione europea ha stabilito requisiti più severi per il trasferimento di dati personali sulla base di clausole contrattuali standard (SCC).
I responsabili o gli incaricati del trattamento che intendono trasferire i dati sulla base delle SCC devono garantire all’interessato un livello di protezione sostanzialmente equivalente a quello garantito dal Regolamento generale sulla protezione dei dati (GDPR) e dalla Carta dei diritti fondamentali dell’UE (CDF).
