La lunga epopea che ha impegnato aziende e professionisti delle privacy negli ultimi anni ha raggiunto un ulteriore, importante, approdo. Dopo anni di vulnus, più o meno efficacemente sopperito da strumenti legali e tecnici alternativi, si è addivenuti a un nuovo accordo per il trasferimento di dati personali verso gli Stati Uniti d’America: il Data Privacy Framework.
Il 10 luglio 2023, infatti, la Commissione Europea ha di fatto completato l’iter di approvazione del “nuovo” Privacy Shield che, salvo (attese?) smentite da parte degli organi giudiziari comunitari, supera le illegittimità del precedente accordo, travolto dalla celebre sentenza Schrems 2 del luglio di tre anni or sono.
La dirompente sentenza Schrems 2 aveva infatti sollevato diverse e rilevanti criticità nell’accordo esistente tra Europa e USA sul trasferimento dei dati personali, evidenziando la fragilità dello stesso e delle garanzie offerte ai cittadini europei e per il loro diritto alla privacy.
Data Privacy Framework: arriva il via libera anche dell’EDPB, con alcune precisazioni
Indice degli argomenti
Come si è arrivati al Data Privacy Framework
A seguito dell’abrogazione del Privacy Shield il framework normativo internazionale aveva perso un fondamentale perno sul quale fondare la legittimità dei trasferimenti di dati verso gli Stati Uniti.
Ciò ha comportato delle significative criticità, in particolare per la fruizione di tutti quei servizi informatici “US-based” divenuti fondamentali per l’utilizzo di servizi online che implicano, fisiologicamente, un trasferimento verso gli USA e/o un accesso di dati personali di cittadini europei da parte di realtà statunitensi. Esempio calzante è Google Analytics.
Il non poter fondare tali attività su un accordo bilaterale con uno Stato la cui rilevanza per la nostra economia è fondamentale, ha creato non pochi grattacapi ad aziende e professionisti, impegnati nel cercare strumenti alternativi (ove presenti) che permettessero l’utilizzo di prodotti e servizi implicanti il trasferimento di dati personali negli States.
Alla caducazione del Privacy Shield sono quindi seguite profonde analisi circa la modalità di trattamento di prodotti e servizi offerti da società americane, tra le quali le principali realtà appartenenti alle c.d. big tech, che rispettassero i canoni sanciti dalla Corte di Giustizia Europea e le, inevitabili, difficoltà nel trovare strumenti e strade alternative per non incorrere in un trasferimento che, stante la sentenza in oggetto, non offriva le dovute garanzie di sicurezza e salvaguardia per i cittadini europei.
Per quanto in questi tre anni, dunque, non sia mancata la ricerca di soluzioni alternative, che ha prodotto risultati encomiabili sul piano della continuità operativa e della ricerca di garanzie adeguate al trasferimento, sicuramente il raggiungimento di un nuovo Data Privacy Framework sancisce un nuovo traguardo, auspicato dai soggetti maggiormente coinvolti.
L’iter approvativo del nuovo Privacy Shield ha impegnato negoziatori e mediatori per circa due anni.
Nel marzo del 2022 la Presidente della Commissione Europea, Ursula Von Der Leyen, ha annunciato di aver trovato un accordo di principio sul nuovo accordo trans-atlantico.
Dall’altro lato dell’Oceano Atlantico il Presidente Joe Biden e l’amministrazione statunitense hanno effettuato dei passi significativi per superare i rilievi della Corte di Giustizia europea, in primis l’emissione di un executive order presidenziale che introducono, per ordine presidenziale, nel contesto statunitense concetti e principi di chiara impronta europea, come quelli di necessità dei trattamenti, minimizzazione, proporzionalità e prevedendo la necessità per le agenzie di intelligence di dotarsi di limiti giuridici alla raccolta ed all’accesso di dati personali per finalità legate alla sicurezza nazionale.
Nel dicembre 2022 viene dunque licenziato il primo draft di accordo da parte della Commissione, avviando così ufficialmente l’iter approvativo che si è da pochissimo concluso.
L’iter ha viste coinvolte le principali istituzioni comunitarie, tra cui l’European Data Protection Board ed il Parlamento Europeo, per poi giungere all’approvazione finale da parte della Commissione Europea, con effetto immediato: l’accordo può considerarsi vigente, infatti, dal 10 luglio 2023.
Sarà dunque, de facto, possibile trasferire liberamente dati personali verso quelle società che aderiscono formalmente al nuovo Privacy Shield. La lista di queste sarà pubblicata ed aggiornata sul sito ufficiale della Federal Trade Commision (FTC).
Le reazioni al nuovo quadro normativo privacy
Le reazioni a tale decisione non si sono fatte attendere. Vi sono state difatti alcune posizioni formali da parte di diverse authorities europee, tra le quali il CNIL francese che, l’11 luglio, ha pubblicato una nota sul neoapprovato DPF UE-US, sottolineando che i trasferimenti di dati personali dall’UE a organizzazioni certificate possono essere effettuati liberamente, senza la necessità di ricorrere a clausole contrattuali standard (SCC) o altri strumenti.
Anche l’EDPB, impegnato direttamente nel processo di approvazione dell’accordo (per quanto solo con un parere non vincolante), si è prodigato nel rilasciare delle dichiarazioni che accoglievano con favore il nuovo accordo ed ha pubblicato delle note informative sui trasferimenti in formato Q&A, fornendo delle delucidazioni sulle implicazioni del nuovo accordo sui trasferimenti di dati personali verso gli USA.
Nell’information note l’EDPB ha così fornito alcune risposte ad importanti quesiti quali:
- Come possono essere trasferiti i dati personali sulla base del DPF?
- Come disciplinare i trasferimenti verso quei data importer che non sono inclusi nella Data Protection Framework List?
- La decisione di adeguatezza sarà soggetta a revisione in futuro?
Non sono mancate d’altro canto le critiche al nuovo accordo che, in alcuni casi, sono sfociate in vere e proprie “dichiarazioni di belligeranza” al nuovo scudo previsto da UE e USA.
Tra le voci dissidenti sicuramente spicca quella di NOYB, l’associazione cui fa capo il celebre Maximiliem Schrems, già “affossatore” dei precedenti accordi esistenti tra UE e US (Safe Harbor nel 2015 e Privacy Shield nel 2020).
Secondo il noto attivista, la Commissione Europea è ben consapevole della fragilità di tale nuovo accordo che, sempre a suo dire, non ha superato le censure evidenziate dalla Corte di Giustizia nella sentenza che ha abrogato il precedente accordo ma preferiscono un accordo fragile, la cui durata è stimabile in due/tre anni piuttosto che mantenere la situazione precedente.
Schrems ha dichiarato espressamente la volontà di ricorrere alla Corte di Giustizia per far, nuovamente, abrogare l’accordo tra UE e US sul trasferimento di dati personali, sulla scorta della non adeguatezza dell’accordo nel prevedere salvaguardie e garanzie per i dati personali oggetto di trasferimento.
Conclusioni
Si prospetta dunque un periodo “transitorio” in cui sarà concesso ad aziende, organizzazione e PA europee di avvalersi di questo nuovo accordo per il trasferimento di dati personali verso le organizzazioni statunitensi che aderiscono al nuovo Data Privacy Framework.
La transitorietà di tale periodo è dettata da una quasi certa pronuncia da parte dei giudici della Corte di Giustizia Europea che sarà chiamata ad esprimersi sulla legittimità di tale accordo.
Per tale decisione è probabile che dovremo attendere almeno un anno, per cui la situazione, salvo eventi straordinari ad oggi imponderabili, si manterrà inalterata fino ad allora.
Una nuova puntata di questa saga sul travagliato tema dei trasferimenti di dati personali verso gli Stati Uniti può dirsi ad oggi conclusa. Se tale accordo ha raggiunto l’anelato obiettivo di bilanciare la cultura e le esigenze di sicurezza nazionale statunitensi con le meticolose garanzie richieste dal quadro normativo comunitario lo sapremo solo al termine di questo iter che, ad oggi, sembra ancora lontano dal suo epilogo.
