Credevamo di non doverci più occupare di un tema così stucchevole e poco ragionevole, in tempi di reti ultraveloci, computer quantistici e intelligenza artificiale; invece, continuiamo a occuparci dell’annoso problema dei trasferimenti di dati tra Unione europea e Stati Uniti.
Dopo che, lo scorso 10 luglio, la Commissione europea ha adottato la tanto attesa decisione di adeguatezza del Data Privacy Framework per i trasferimenti di dati personali UE-USA, non sono tardate a emergere le prime voci di possibili azioni volte a chiederne l’annullamento.
Per chi conosce le dinamiche politiche e giuridiche che sempre più interessano il sistema della data economy, questa non è di certo una sorpresa. Al tempo stesso, si tratta di una notizia da non prendere sottogamba: ecco perché.
Data Privacy Framework: arriva il via libera anche dell’EDPB, con alcune precisazioni
Indice degli argomenti
La “vexata quaestio” dei trasferimenti UE-USA
La regolamentazione dei flussi di dati personali tra Unione europea e Stati Uniti è da sempre una questione complessa e dibattuta nel mondo della protezione e circolazione dei dati personali. Un mondo composto di istituzioni e autorità – chiamate a definire e far applicare regole e istituti –, aziende ed enti pubblici – tenuti a rispettare le norme sui trattamenti transfrontalieri –, professionisti e studiosi – il cui compito è quello di trovare soluzioni e proporre nuove interpretazioni.
Con la sentenza della Corte di Giustizia dell’Unione europea del 16 luglio 2020 – che, come noto, ha invalidato il Privacy Shield, lo strumento giuridico sul quale fino a quel momento si fondavano i trasferimenti di dati personali tra Unione europea e Stati Uniti – questo sistema è entrato in un forte e imprevisto stato di allarme.
Tutti gli attori dell’ecosistema della protezione dei dati personali si sono dunque trovati a fronteggiare una situazione decisamente complicata.
La reazione di istituzioni e autorità è stata immediata, alla ricerca di una soluzione alla lacuna lasciata dalla sentenza “Schrems II”.
Al percorso politico avviato tra le due sponde dell’Oceano Atlantico si è istantaneamente affiancato l’intervento dell’European Data Protection Board, a cui va il merito di aver fornito con fondamentale tempismo chiarimenti e metodologie per affrontare uno scenario inedito.
Interpreti e dottrina, dal canto loro, si sono subito spesi per individuare una quadra teorica e operativa in un ambito in cui commenti e riflessioni sono particolarmente stimolanti e oltremodo utili.
Le reazioni del mercato dopo Schrems II
Per le aziende, invece, dal giorno della sentenza della Corte di Giustizia si è aperta una stagione di grande titubanza e incertezza.
La ricerca di un nuovo equilibrio di compliance in assenza del parametro normativo che per diversi anni aveva sorretto questi flussi transfrontalieri ha rappresentato una delle sfide più importanti e complicate nel mondo della protezione dei dati personali.
Ciò anche in ragione di alcune dinamiche di mercato, che negli ultimi anni hanno spostato con decisione l’asse dei trattamenti transfrontalieri verso gli Stati Uniti.
Senza una bussola con la quale orientarsi, sono stati allora i Data Protection Officer (DPO) a doversi calare con ancora più dedizione nello spirito di una funzione di controllo e consulenza in assenza della quale affrontare un simile scenario sarebbe stato decisamente più arduo.
Con il passare dei mesi, all’avanzare dei negoziati politici è cresciuta quasi proporzionalmente la fiducia delle imprese per una celere risoluzione della questione. Trascorsi infine tre anni, il nuovo strumento giuridico per i trasferimenti di dati tra Unione europea e Stati Uniti è stato finalmente dotato di efficacia e si trova attualmente sottoposto allo stress test del mercato.
E tuttavia, fin da subito il framework è stato al centro di alcune osservazioni critiche e, come detto, sembra che non passerà molto tempo prima di vedere anche quest’ultima decisione di adeguatezza della Commissione europea al vaglio dei giudici.
La certezza del diritto
Non è chiaramente questa la sede per analizzare in modo dettagliato le ragioni che hanno condotto all’invalidazione del Privacy Schild o le motivazioni dietro al protrarsi del periodo di vacatio terminato lo scorso luglio.
Così come non potrebbero essere in poco spazio valutati il valore e la tenuta giuridica del compromesso raggiunto con la decisione di adeguatezza del Data Privacy Framework.
Negli anni in cui ho ricoperto il ruolo di dirigente presso l’Autorità Garante per la protezione dei dati personali, ho partecipato in prima persona alla creazione di istituti come le Binding Corporate Rules, il Safe Harbor e le Standard Contractual Clauses. Conosco quindi per esperienza diretta la complessità di questo particolare ambito del diritto alla protezione e circolazione dei dati personali, che continua ancora oggi a rivelare sfumature e impatti nuovi.
Ciò che però credo sia importante qui sottolineare è la necessità di mantenere sempre al centro il rispetto dei principi generali, e ciò deve valere anche quando si parla di trattamenti transfrontalieri. E a questo proposito gioca un ruolo fondamentale la certezza del diritto.
Difatti, quale che sia la soluzione politica e giuridica alla querelle sui trasferimenti di dati tra Unione europea e Stati Uniti, non deve passare mai in secondo piano l’importanza di evitare che aziende ed enti pubblici si trovino privi di chiare coordinate per orientare le proprie scelte e prendere decisioni consapevoli.
Cosa possono fare le aziende
In questo momento i trasferimenti tra Unione europea e Stati Uniti trovano nella decisione di adeguatezza del Data Privacy Framework il proprio fondamento. Il mare in tempesta che sembrerebbe scorgersi all’orizzonte non deve naturalmente creare allarmismi ingiustificati.
Tuttavia, avviandoci verso l’ultimo semestre dell’anno, questa può essere l’occasione giusta per impostare alcune mirate azioni programmatiche.
Penso, ad esempio, alla pianificazione di audit specificamente incentrati sui trattamenti transfrontalieri. Ciò dovrebbe avvenire coinvolgendo e mettendo sempre in prima linea il proprio Data Protection Officer, dotandolo al tempo stesso di tutte le necessarie risorse, umane ed economiche.
