Si chiama Trans-Atlantic Data Privacy Framework l’accordo trovato tra la Commissione Europea e gli Stati Uniti per far rivivere il Privacy Shield e che sarà alla base della decisione di adeguatezza con cui la Commissione Europea sancirà (di nuovo) che gli Stati Uniti sono in grado di offrire un adeguato livello di protezione ai sensi della normativa privacy.
Annunciato lo scorso 25 marzo, il nuovo accordo (che di fatto offre tutele rivolte ai cittadini europei nel caso di trasferimento dei loro dati in USA) sorge sulle ceneri del Privacy Shield, il quale a sua volta sorgeva sulle ceneri del Safe Harbour.
Entrambi i precursori del Trans-Atlantic Data Privacy Framework sono stati “abbattuti” dalla Corte di Giustizia dell’Unione Europea con le sentenze Schrems I e Schrems II.
Questa terza iterazione dell’accordo UE/USA sul trasferimento transfrontaliero dei dati, secondo le parti coinvolte, consentirà finalmente alla conseguente decisione di adeguatezza di resistere al sindacato della Corte di Giustizia UE.
Andrà verificato, però, se davvero, come dicono gli inglesi, third time’s a charm, e se davvero questa volta l’accordo garantirà davvero ai cittadini europei una tutela assimilabile a quella di cui gli stessi godono all’interno dell’Unione.
Le problematiche che hanno portato alla “caduta” dei due accordi che hanno preceduto il Trans-Atlantic Data Privacy Framework sembrano infatti difficilmente risolvibili in quando discendono dalle ingerenze del governo USA, per ragioni di sicurezza e intelligence, sui dati presenti sul territorio americano, a prescindere dalla nazionalità del soggetto a cui si riferiscono, ed è difficile immaginare che gli Stati Uniti rinuncino a queste loro prerogative, nate in gran parte dopo l’11 settembre e ormai radicate nel diritto del paese.
Per questo il nuovo accordo è stato accolto con scetticismo dagli operatori, specie per il suo tempismo, coincidente con il conflitto in Ucraina e con la conseguente la necessità di un riavvicinamento politico sull’asse dell’Atlantico.
Il timore è quindi che per la terza volta la Commissione UE si sia accontentata di quanto offerto dal governo USA, ovvero semplici palliativi formali non in grado di arginare i complessi problemi di fondo che lasciano un solco difficilmente colmabile fra la protezione dei dati offerta in UE e quella invece garantita in USA.
Sentenza Schrems II, gli impatti per Governi e imprese: ecco cosa è cambiato
Indice degli argomenti
Come si è arrivati al Trans-Atlantic Data Privacy Framework
In principio era il c.d. Safe Harbour (risalente ancora al 2000) a garantire un trasferimento dati legittimo fra USA e UE.
Con il termine Safe Harbour si fa riferimento ai principi e FAQ pubblicati dal Dipartimento del commercio degli Stati Uniti a cui le aziende potevano adeguarsi per ottenere accesso al canale preferenziale per il trasferimento di dati sull’asse Europa/USA.
Sulla base di questi principi la Commissione Europea, ritenendoli adeguati a garantire un livello di tutela adeguato, ha adottato la decisione di esecuzione 2000/520/CE.
La decisione è venuta meno dopo la pronuncia Schrems I della Corte di Giustizia UE, del 6 ottobre 2015 (C‑362/14, EU:C:2015:650).
Vista la “caduta” del Safe Harbour, la Commissione Europea e il Dipartimento del commercio degli Stati Uniti hanno iniziato a lavorare alacremente a un nuovo accordo, ottenendo così l’emanazione, da parte del Dipartimento del commercio USA, in data 7 luglio 2016, di una serie di principi, sotto il nome di Privacy Shield.
Già allora il Garante Europeo e il Working Party Articolo 29, pur riconoscendo i meriti del nuovo accordo e i miglioramenti rispetto al regime del Safe Harbour, avevano denunciato alcune criticità e affermato che l’accordo verosimilmente non avrebbe superato il vaglio della Corte di Giustizia UE.
Ciononostante, la Commissione Europea, ritenendo sufficienti le garanzie offerte dal Privacy Shield Framework, ha adottato la decisione di esecuzione (UE) 2016/1250 il 12 luglio 2016, riconoscendo l’adeguatezza del trasferimento dati fra Europa e Stati Uniti sotto l’egida del nuovo accordo.
Anche questa volta però l’opinione della Commissione UE è stata smentita dalla Corte di Giustizia UE nella sentenza Schrems II del 16 luglio 2020 (C-311-18, EU:C:2020:559), dove la Corte ha dichiarato la, ampiamente anticipata, invalidità della decisione di adeguatezza basata sul Privacy Shield.
La sentenza è però significativa anche perché non si è limitata ad esaminare il Privacy Shield, ma anche il “salvagente” a cui si erano rivolti gli operatori U.S.A. per garantirsi un legittimo trasferimento dati nel loro paese anche ove il traballante Privacy Shield fosse stato dichiarato illegittimo, ovvero le Clausole Contrattuali Standard.
Secondo la Corte infatti il trasferimento dati transfrontaliero è illegittimo anche nell’ipotesi in cui le parti abbiano negoziato le clausole contrattuali standard approvate dalla Commissione ma, alla luce del complesso delle circostanze proprie del trasferimento transfrontaliero, sia probabile che le suddette clausole non siano o non possano essere rispettate in tale paese terzo e che la protezione dei dati trasferiti richiesta dal diritto dell’Unione non possa essere garantita con altri mezzi.
Questo è stato l’elemento che ha spogliato gli operatori statunitensi della “foglia di fico” di cui gli stessi avevano tutta l’intenzione di servirsi nel periodo di interregno fra la caduta del Privacy Shield e il raggiungimento di un nuovo accordo, e che ha amplificato enormemente la magnitudo della sentenza Schrems II.
Per questo motivo poco dopo la sentenza si sono aperti i negoziati per arrivare in tempi rapidi ad un nuovo accordo.
Era però chiaro ad entrambe le parti come fosse necessario affrontare l’elefante nella stanza e quindi trovare un modo per garantire una effettiva tutela ai cittadini europei di fronte alle possibili ingerenze del governo USA sui loro dati.
Questa ormai ineludibile necessità ha inevitabilmente allungato i tempi per il raggiungimento di un accordo (se dopo Schrems I è stato sufficiente un anno per licenziare il Privacy Shield, stavolta sono stati necessari quasi due anni per arrivare al Trans-Atlantic Data Privacy Framework) e anzi secondo alcuni sarebbe servito più tempo per arrivare finalmente ad un accordo “resistente” al vaglio della giurisprudenza.
La posizione di Schrems
Tra questi “scettici” va annoverato lo stesso Schrems, che ha già espresso la sua opinione sull’accordo, affermando che stiamo parlando di un accordo di tipo politico, senza basi giuridiche, che verosimilmente non può superare il vaglio della Corte di Giustizia UE, la quale ha chiaramente indicato la strada da percorrere, ovvero la modifica, da parte degli USA, delle loro leggi in tema di sorveglianza.
Schrems avanza anche il timore che gli USA abbiano forzato la mano alla Commissione puntando sulla necessità di sicurezza dei rapporti fra i partner della NATO di fronte alla minaccia russa in Ucraina.
Punti cardine del Trans-Atlantic Data Privacy Framework
Quel che sottolinea Schrems è anche che ad oggi non abbiamo il contenuto dell’accordo, ma solo un annuncio politico che ci dice ben poco sui contenuti dell’intesa.
L’accordo dovrà poi essere tradotto in una decisione esecutiva della Commissione ed è verosimile che proprio in quella sede la Commissione analizzerà puntualmente i motivi per cui ritiene che il nuovo accordo sia in grado di superare le critiche mosse al Privacy Shield dalla Corte di Giustizia.
In ogni caso nell’annuncio si promettono nuove misure di salvaguardia al fine di garantire che le attività di intelligence del governo USA siano proporzionate rispetto agli obiettivi perseguiti.
In particolare, tra i vari elementi dell’accordo su cui hanno insistito le parti coinvolte ci sono:
- una nuova serie di regole e salvaguardie vincolanti per limitare l’accesso ai dati da parte delle autorità di intelligence statunitensi, consentendo loro di accedere ai dati solamente nella misura in cui questo sia necessario e proporzionato per proteggere la sicurezza nazionale. Stando al comunicato, il nuovo accordo prevede che le agenzie di intelligence statunitensi adottino procedure per garantire un controllo efficace dei nuovi standard in tema privacy;
- un nuovo sistema di ricorso a due livelli per indagare e risolvere i reclami dei cittadini europei sull’accesso ai dati da parte delle autorità di intelligence statunitensi, che prevede anche il coinvolgimento di una apposita Data Protection Review Court;
- obblighi stringenti per le aziende che elaborano i dati trasferiti dall’UE, che continueranno ad includere l’obbligo di autocertificare la propria adesione ai Principi formulati dal Dipartimento del commercio degli Stati Uniti;
- specifici meccanismi di monitoraggio e revisione dell’accordo.
L’annuncio è quindi davvero vago e sarà necessario attendere per comprendere i contorni di questo nuovo accordo e verificare se finalmente gli USA hanno abdicato in parte le loro pretese di sorveglianza o se il nuovo accordo si risolverà in un mero maquillage del Privacy Shield.
Tra le varie “promesse” dell’annuncio politico la più importante da verificare sarà quella delle “regole e salvaguardie vincolanti per limitare l’accesso ai dati da parte delle autorità di intelligence statunitensi”, ovvero l’elemento che più di tutti farà la differenza fra un accordo formale e il sostanziale superamento delle criticità denunciate dalla Corte di Giustizia UE.
Quel che è certo è che la strada dell’accordo politico sia l’unica che può garantire davvero un flusso di dati legittimo fra i due versanti dell’Atlantico, in quanto è davvero difficile pensare che le parti private (ad esempio utilizzando clausole contrattuali) possano riuscire a “replicare” il livello di tutela in tema privacy offerto ai titolari dei dati in Europa, quando esistono norme di legge che impongono loro (una volta che i dati sono arrivati negli USA) di offrire in una vasta serie di ipotesi i dati alle autorità governative.
Solo il governo statunitense può quindi risolvere questo continuo balletto fra Commissione (accomodante) e Corte di Giustizia (intransigente), rinunciando ad alcune delle sue ingiustificate prerogative di controllo e trovando così l’avallo di tutte le istituzioni europee per un flusso di dati finalmente libero fra USA e UE.
