A distanza di oltre sei mesi dall’accordo di massima raggiunto nel marzo 2022 tra la Presidente della Commissione europea Ursula von der Leyen e il Presidente degli Stati Uniti Joe Biden in merito a un “Trans-Atlantic Data Privacy Framework” per rendere di nuovo agevole il flusso dei dati personali dall’UE agli USA, il 7 ottobre scorso è stato pubblicato un Executive Order del Presidente americano (“Executive Order”), volto a dare attuazione al suddetto accordo.
Un’importante novità, da accogliere con favore, ma il livello di presidio richiesto alle aziende europee rimane elevato.
Privacy USA-UE, le nuove regole di Biden sui dati personali degli europei
Indice degli argomenti
Le ragioni e gli obiettivi a fondamento dell’Executive Order
L’Executive Order è nato con il fine di dare attuazione pratica ai rilievi mossi dalla Corte di giustizia dell’Unione europea con la sentenza Schrems II del 16 luglio 2020 e creare le condizioni perché il framework normativo statunitense possa essere considerato sufficientemente tutelante anche per i cittadini europei i cui dati vengano trasferiti negli Stati Uniti.
Infatti, secondo i giudici europei, nonostante la presenza di una decisione di adeguatezza (il Privacy Shield), la disciplina americana prevista in materia di accesso e utilizzo, da parte delle autorità pubbliche statunitensi, ai dati trasferiti dall’UE verso gli Stati Uniti presentava principalmente le seguenti criticità:
- le limitazioni previste nell’ordinamento statunitense non erano inquadrate in modo da corrispondere a requisiti sostanzialmente equivalenti a quelli richiesti nel diritto europeo. In particolare, non vi era corrispondenza con i requisiti minimi connessi al principio di proporzionalità, cosicché i programmi di sorveglianza non potevano essere considerati limitati allo stretto necessario ma risultavano bensì eccessivamente invasivi della sfera individuale dei cittadini europei;
- non vi era un meccanismo di ricorso e controllo giurisdizionale effettivo da parte di un giudice indipendente e imparziale (il meccanismo previsto dal Privacy Shield dell’Ombudsman falliva nel raggiungere tale obiettivo).
L’adesione ai principi di necessità e proporzionalità
L’ordine esecutivo prevede innanzitutto che le attività di intelligence (signals intelligence activities) delle autorità pubbliche statunitensi debbano essere limitate a quanto risulti necessario e proporzionato (e non più semplicemente a quanto risulti “ragionevole”).
Nel fornire il quadro di tali requisiti l’ordine esecutivo specifica:
- da una parte, che tali attività devono essere condotte solo a seguito di una determinazione, basata sullo svolgimento di una ragionevole valutazione che dimostri, alla luce di tutti i fattori rilevanti, che tale accesso è necessario per avanzare una priorità d’intelligence che non si fondi unicamente sulle risultanze dell’accesso stesso a tali informazioni;
- dall’altra, che, in ogni caso, le attività d’intelligence devono essere condotte solo nei limiti (per ambito e modalità) di quanto autorizzato, per raggiungere un bilanciamento tra gli obiettivi di sicurezza nazionale e i diritti e le libertà fondamentali delle persone fisiche.
Quindi, l’ordine individua anche il perimetro di tale necessità e proporzionalità, segnatamente prevedendo 12 obiettivi legittimi e 4 obiettivi proibiti (Sec. 2(b)) oltre che tutele circa la raccolta, la gestione, la comunicazione e la conservazione dei dati da parte delle autorità pubbliche statunitensi (Sec. 2 (c)).
Il meccanismo di ricorso e controllo giurisdizionale
L’executive order prevede poi un sistema di impugnazione a due livelli, che è previsto esclusivamente per gli Stati che saranno individuati quali “qualifying states”:
- nel primo livello, è possibile far ricorso al Civil Liberties Protection Officer (“CLPO”), che conduce un’indagine e può stabilire l’adozione di azioni di rimedio rispetto alle attività di trattamento;
- nel secondo livello, ogni individuo può impugnare le decisioni del CLPO alla Data Protection Review Court (“DPRC”). La DPRC sarà composta da tre giudici indipendenti dal governo e avrà il potere di assumere decisioni vincolanti (per esempio, richiedendo la cancellazione dei dati raccolti).
Prossimi passi
La Commissione europea inizierà ora il proprio processo di valutazione d’adeguatezza dell’ordinamento statunitense per decidere, in particolare alla luce di quanto previsto nell’Executive Order, la possibile adozione di una nuova decisione d’adeguatezza.
Tale procedimento dovrebbe richiedere alcuni mesi (in media questo iter ha una durata di circa 6 mesi) e quindi potrebbe concludersi nella primavera 2023. È previsto anche un parere dello European Data Protection Board (EDPB) in merito alla bozza di decisione di adeguatezza e l’approvazione da parte di un comitato composto da rappresentanti degli Stati Membri.
Inoltre, una volta che sarà stata eventualmente approvata la decisione di adeguatezza, i dati dei cittadini europei potranno fluire liberamente solo verso le entità che siano state certificate dal Dipartimento del Commercio americano come aderenti alle regole previste dal framework di riferimento.
Le cautele da adottare
Nel frattempo, in attesa che si giunga a un “Privacy Shield 2.0”, le aziende che esportano dati negli USA, perché ad esempio utilizzano servizi forniti da Tech companies americane, come devono comportarsi?
Lo strumento principale a cui è possibile fare riferimento oggi sono le clausole contrattuali standard approvate dalla Commissione europea il 4 giugno 2021, le quali tuttavia – a seguito della sentenza Schrems II e di quanto raccomandato in materia dall’EDPB – richiedono lo svolgimento di accurati Transfer Impact Assessment per verificare se, in considerazione dell’ordinamento e del destinatario dei dati, oltre alle tutele previste nelle clausole standard stesse siano altresì necessarie misure supplementari di tipo tecnico, organizzativo o legale.
In ogni caso, quando i meccanismi previsti nell’Executive Order saranno effettivamente implementati (sono previsti 60 giorni), i data exporters europei, nell’ambito dei propri assessment collegati agli USA, potranno tenere conto delle garanzie ivi previste.
La Commissione europea (nel proprio documento di Q&A del 7 ottobre, disponibile qui), fa emergere un certo grado di fiducia rispetto all’efficacia dell’Executive Order nel risolvere le criticità individuate dalla Corte di giustizia europea nella sentenza Schrems II. Il rischio maggiore, infatti, è che il nuovo framework, una volta approvato, non passi al vaglio della Corte di giustizia in caso di eventuali (e probabili) ricorsi ulteriori da parte di chi, come l’associazione NOYB che fa capo a Max Schrems, ha già dichiarato di non ritenere soddisfacenti gli sforzi effettuati negli Stati Uniti (qui il relativo comunicato).
Al momento occorre quindi continuare a mantenere un approccio prudente e basato sul rischio, svolgendo i necessari passaggi legali e tecnici, in tutte le situazioni in cui l’acquisto di servizi da fornitori americani (o la conclusione di partnership commerciali, o lo svolgimento delle attività intragruppo, o qualsiasi altra attività) implichino un trasferimento di dati oltre-oceano.
