L’Office of the Director of National Intelligence (“ODNI”) degli Stati Uniti ha annunciato recentemente di aver implementato completamente le nuove salvaguardie ai sensi dell’Executive Order 14086 (EO): questi passaggi aprono la strada alla Commissione europea per adottare la bozza di decisione di adeguatezza per il trasferimento di dati transfrontalieri ai sensi dell’EU-U.S. Data Privacy Framework.
Indice degli argomenti
Gli USA hanno “qualificato” gli Stati membri UE
Il governo degli Stati Uniti doveva adottare diversi passaggi chiave per attuare l’Executive Order. Oltre a prevedere che la U.S. Intelligence Community adottasse le proprie politiche e procedure ai sensi dell’EO 14086, il governo degli Stati Uniti ha ora anche dichiarato che gli Stati membri dell’Unione europea (“UE”) e dello Spazio economico europeo (“SEE”) sono “stati qualificati”, in modo tale che i cittadini locali dell’UE e altri cittadini del SEE possano presentare un reclamo, che alla fine può far scattare la revisione da parte del responsabile della protezione delle libertà civili dell’ODNI (“CLPO”) e, in ultima analisi, del tribunale per il riesame della protezione dei dati degli Stati Uniti, se necessario.
La decisione del governo degli Stati Uniti sugli stati qualificati entrerà in vigore dopo l’adozione della decisione di adeguatezza del DFA da parte della Commissione europea.
Queste e altre attività assicurano teoricamente che, dal momento dell’adozione del Data Privacy Framework da parte della Commissione europea, il governo degli Stati Uniti rispetterà pienamente l’attuazione dell’Executive Order.
Come si è arrivati alla decisione del governo USA
Tuttavia, le negoziazioni tra UE e Stati Uniti in merito al trasferimento dei dati, iniziate nel 2021, hanno incontrato diversi ostacoli.
Nel luglio 2020, la Corte di giustizia dell’Unione europea (“CGUE”) ha invalidato la decisione di adeguatezza per i trasferimenti di dati transfrontalieri nell’ambito del Privacy Shield UE-USA per la privacy.
La decisione della CGUE è stata in gran parte guidata da una percepita insufficienza delle protezioni della privacy associate a determinate attività di raccolta di intelligence sulla sicurezza nazionale degli Stati Uniti in una decisione chiamata “Schrems II”.
L’annullamento del Privacy Shield da parte della CGUE ha creato diversi rischi, ai sensi del Regolamento generale sulla protezione dei dati dell’UE (GDPR), per le società dell’UE e degli Stati Uniti che hanno scambiato dati personali sulla base del Privacy Shield.
In risposta a Schrems II, il governo degli Stati Uniti e la Commissione europea hanno lavorato in collaborazione per sviluppare un successivo accordo di trasferimento transatlantico dei dati, denominato EU-U.S. Data Privacy Framework (“DPF”), che è stato concordato nel marzo 2022.
L’accordo è stato attuato con la firma dell’ordine esecutivo 14086 (EO 14086) del presidente Biden nell’ottobre 2022, che prevede salvaguardie sui dati personali importati dall’UE, in particolare limitando l’accesso delle agenzie di intelligence e stabilendo un meccanismo di ricorso.
In particolare, l’OE stabilisce un nuovo processo per le persone fisiche per chiedere un risarcimento in merito a presunte violazioni della legge in relazione alle attività di intelligence riguardanti i loro dati che sono stati trasferiti da uno “stato qualificato” agli Stati Uniti. Alla fine del 2022, la Commissione europea ha pubblicato la sua bozza di decisione di adeguatezza sui trasferimenti di dati personali UE-USA.
La bozza conteneva una valutazione del quadro giuridico statunitense per la sorveglianza statale. Secondo la bozza, il DPF consentirebbe trasferimenti gratuiti e sicuri di dati tra l’UE e gli Stati Uniti per le società statunitensi autocertificate ai sensi del DPF, apportando molti vantaggi commerciali alle imprese di entrambe le parti.
Le preoccupazioni e l’intervento dell’EDPB
Nonostante questi passi avanti, nel febbraio 2023, il Comitato europeo per la protezione dei dati (EDPB) ha aggiunto la sua voce al coro di commentatori sul nuovo DPF esprimendo alcune riserve ma nel complesso plaudendo agli sforzi compiuti fino ad oggi.
Tali commenti non vincolanti sono stati seguiti, il 13 aprile 2023, da una risoluzione della commissione per le libertà civili, la giustizia e gli affari interni dell’UE (commissione LIBE) volta a interrompere il dibattito sul progetto di decisione di adeguatezza in cui si affermava che la nuova normativa UE-USA sulla privacy dei dati Framework (DPF) e l’Executive Order on Enhancing Safeguards for US Signals Intelligence Activities emessi dal Presidente degli Stati Uniti non fornissero sufficienti tutele della privacy.
Le preoccupazioni principali evidenziate hanno riguardato se il quadro nella sua forma attuale proteggesse sufficientemente i dati personali dei cittadini dell’UE.
Inoltre, nella sua risoluzione, la commissione LIBE ha ribadito che la sorveglianza di massa, compresa la raccolta massiccia di dati, da parte di attori statali è dannosa per la fiducia dei cittadini dell’UE e ogni volta che un meccanismo di trasferimento viene contestato, ciò si aggiunge al costo di conformità per le imprese che operano nell’economia digitale.
Infine, la risoluzione ha evidenziato lacune in relazione al diritto di accesso e ricorso in quanto il sistema legale statunitense consente di classificare le decisioni della Data Protection Review Court, il che significa che il denunciante sarebbe indebitamente limitato nell’accesso o nella rettifica dei propri dati.
Le osservazioni del Parlamento europeo
A seguito delle osservazioni presentate dall’EDPB e dalla commissione LIBE, l’11 maggio 2023 il Parlamento europeo ha adottato una risoluzione contro l’adozione di una decisione di adeguatezza dell’UE per gli Stati Uniti basata sul DPF. La risoluzione arriva dopo un’analisi del Parlamento europeo dell’OE.
Di fatto, il Parlamento europeo ha ritenuto che il DPF UE-USA non crei un livello di protezione adeguato rispetto al quadro europeo.
Anche se il governo degli Stati Uniti ha appena compiuto passi importanti per emettere procedure di attuazione per l’OE, come designare gli Stati membri dell’Unione europea (UE) e dello Spazio economico europeo (SEE) come “Stati qualificati”, consentendo ai cittadini dell’UE e del SEE per sporgere denuncia, le osservazioni del parlamento europeo sono ancora abbastanza rilevanti.
Secondo il parere del Parlamento, l’EO 14086 non fornisce garanzie sufficienti per il trasferimento di dati personali dall’UE agli Stati Uniti, soprattutto in considerazione dei seguenti aspetti: sebbene sia stato creato un meccanismo di ricorso per i cittadini europei ai sensi dell’EO 14086, la decisione dell’autorità competente non è destinata a essere resa pubblica, implicando che l’interessato che presenta il reclamo non abbia la possibilità di impugnare la decisione o chiedere il risarcimento dei danni.
Inoltre, negli Stati Uniti manca ancora una legge federale sulla protezione dei dati e l’EO 14086 può essere modificato o revocato in qualsiasi momento dal Presidente degli Stati Uniti.
In attesa della decisione di adeguatezza UE
Ad oggi, la Commissione Europea ha indicato che prevede di adottare la decisione di adeguatezza per il DPF entro questa estate.
Da quel momento, il Dipartimento del Commercio degli Stati Uniti (“US DOC”) fornirà un periodo di garanzia di tre mesi durante il quale le aziende attualmente autocertificate per il Privacy Shield possono convertire la loro autocertificazione per coprire il DPF.
L’US DOC fornirà inoltre alle nuove aziende un mezzo per autocertificarsi al DPF, in modo da ottenere i vantaggi legali e di conformità nel fornire una protezione adeguata ai sensi del GDPR.
Tuttavia, resta da vedere se la Commissione europea sarà disposta o in grado di rinegoziare parti dell’accordo per affrontare in modo adeguato le critiche mosse dal Parlamento europeo.
Sebbene la risoluzione del Parlamento europeo dovrebbe ritardare il processo, è ancora possibile che quest’anno ci sia un nuovo progetto di decisione di adeguatezza dell’UE per il DPF.
