La Commissione europea ha pubblicato lo scorso 13 dicembre la bozza di decisione di adeguatezza che riconosce l’equivalenza degli standard statunitensi di protezione dei dati, aprendo la strada ad una decisione che agevolerebbe sensibilmente il transito di dati personali verso gli Stati Uniti, superando le criticità derivanti dall’abolizione del Privacy Shield nel luglio 2020.
Tutti i problemi dell’ordine esecutivo di Biden per salvare il flusso di dati USA-UE
Indice degli argomenti
Trasferimento dati personali UE-USA, verso un nuovo accordo
Il recente Executive Order adottato dal Presidente degli Stati Uniti è intervenuto sulle politiche di accesso delle agenzie di intelligence straniere ai dati personali e ha creato un nuovo sistema di ricorso per i cittadini dell’UE. Su tali basi la Commissione ha ritenuto di avviare l’iter per ritenere gli Stati Uniti un porto sicuro al quale fare approdare i dati personali dei cittadini europei.
La bozza di decisione di adeguatezza passerà ora attraverso un iter approvativo, che coinvolgerà diverse istituzioni comunitarie.
Un esito positivo di tale iter porterebbe dunque ad una soluzione dei rilevanti problemi derivanti dall’abrogazione del Privacy Shield (tra gli altri la possibilità di utilizzare Google Analytics, ad esempio).
Una “soluzione universale”
Le aziende che trasferiscono dati personali negli Stati Uniti hanno dovuto ripensare la loro strategia per trasferire i dati personali, attraverso il ricorso a clausole contrattuali standard (Standard Contractual Clauses) e la conduzione di complessi assessment del rischio di trasferimento, in linea con le indicazioni dell’European Data Protection Board (EDPB) e delle autorità locali per la protezione dei dati.
Da quando la sentenza della Corte di Giustizia Europea (Schrems II) ha invalidato il Privacy Shield, il flusso di dati personali dall’Unione Europea agli Stati Uniti è stato infatti oggetto di un intenso fermento normativo: linee guida, raccomandazioni, provvedimenti delle diverse authorities europee. Tutto ciò però non è stato di per sé sufficiente per offrire garanzie esaustive di compliance e chiarezza.
Ecco dunque che tale accordo potrebbe (il condizionale è d’obbligo) offrire una soluzione “universale” all’utilizzo di soluzioni informatiche che utilizzano server ed infrastrutture US based.
Alcuni importanti contenuti della bozza di decisione
Vediamo dunque quali alcuni punti salienti che emergono dalla lettura del draft pubblicato dalla Commissione.
Come riportato da diversi commentatori (tra i quali il Segretario USA al Commercio Gina Raimondo) il draft di decisione è stato redatto tenendo in debita considerazione le censure mosse dalla Corte di Giustizia nella famosa sentenza Schrems II.
Più obblighi di privacy
La bozza di decisione rafforza dunque gli obblighi in materia di privacy per le aziende statunitensi che si impegnano ad aderire al Framework. Le aziende che intendono aderire al framework dovranno rispettare i principi di minimizzazione dei dati, essere trasparenti verso gli interessati sulle modalità e le finalità perseguite, garantire loro i diritti in merito ai propri dati personali (es. cancellazione).
Le aziende statunitensi potranno dunque aderire al framework UE-USA solo impegnandosi al rispetto di una serie dettagliata di obblighi in materia di privacy, come ad esempio l’obbligo di cancellare i dati personali quando non sono più necessari per lo scopo per cui sono stati raccolti e di garantire la protezione dei dati personali anche quando vengono condivisi con terzi (es. subfornitori/subprocessor).
Gli strumenti di tutela per i cittadini UE
Tra le censure mosse dai giudici comunitari vi era altresì la scarsa efficacia del sistema di tutela giurisdizionale previsto dal Privacy Shield.
Ed ecco dunque che la decisione prevede la possibilità per i cittadini europei di usufruire di diversi strumenti di tutela nel caso in cui i loro dati personali vengano trattati in violazione dell’accordo. È esplicitamente prevista la possibilità di ricorrere gratuitamente a meccanismi indipendenti di risoluzione delle controversie o ad un collegio arbitrale.
Il tema maggiormente spinoso riguarda la rilevata eccessiva permeabilità del sistema statunitense ai poteri di accesso delle autorità governative ed amministrative.
Il nodo principale, che ha portato la Corte di Giustizia ha ritenere gli Stati Uniti un approdo non sicuro per i dati personali dei cittadini europei, è difatti l’eccessiva libertà riconosciuta alle agenzie governative statunitensi di accedere ed utilizzare i dati europei per finalità di sicurezza e non solo.
Trasferire dati negli USA, dopo l’ordine esecutivo di Biden: le cautele da adottare
I dubbi di Schrems e le nuove certezze dell’Europa
NOYB (l’associazione istituita da Max Schrems) ha più volte lamentato come la legge FISA 702 (legge US che autorizza NSA, FBI e CIA a raccogliere ed utilizzare informazioni su cittadini residenti all’estero) rappresenti una seria violazione al principio di proporzionalità previsto dal GDPR.
La Corte di Giustizia, nelle due sentenze di invalidazione dei precedenti accordi, ha sottolineato proprio l’insussistenza di necessari limiti a programmi di analisi ed indagine (si veda l’inquietante programma di sorveglianza PRISM svelato dalle dichiarazioni di Edward Snowden).
La Commissione, tuttavia, evidenza come il quadro giuridico statunitense preveda oggi una serie di limitazioni e salvaguardie per quanto riguarda l’accesso ai dati da parte delle autorità pubbliche. Le nuove regole introdotte dall’Ordine Esecutivo garantiranno dunque, a guisa della Commissione, che l’accesso ai dati di cittadini europei da parte delle agenzie di intelligence statunitensi sarà limitato a quanto necessario e proporzionato per proteggere la sicurezza nazionale.
I prossimi passaggi
Il processo di decisione sull’adeguatezza è iniziato con la pubblicazione da parte della Commissione europea della bozza di decisione sull’adeguatezza. La bozza di decisione passa ora all’EDPB, che la esaminerà e formulerà un parere non vincolante. La bozza di decisione passerà poi al vaglio da parte di comitato degli Stati membri dell’UE.
La decisione entro l’estate
Una volta completato questo processo – e supponendo che la decisione resista agli step intermedi – la Commissione europea potrà adottare la decisione di adeguatezza finale.
Questo processo potrebbe durare anche solo qualche settimana, ma si prevede che possa richiedere fino a sei mesi. Come dichiarato da Didier Reynders, Commissario Europeo per la Giustizia, il traguardo potrebbe essere raggiunto prima della prossima estate. È dunque lecito ipotizzare che una definitiva decisione di adeguatezza arriverà tra marzo e luglio 2023.
Privacy USA-UE, le nuove regole di Biden sui dati personali degli europei
Le verifiche periodiche
Il buon funzionamento del framework UE-USA scaturente dall’accordo sarà poi soggetto a verifiche periodiche, che saranno effettuate dalla Commissione europea, insieme alle autorità europee per la protezione dei dati e alle autorità statunitensi competenti.
Il primo riesame avrà luogo entro un anno dall’entrata in vigore della decisione di adeguatezza, per verificare se tutti gli elementi pertinenti del quadro giuridico statunitense siano stati pienamente attuati e funzionino efficacemente nella pratica.
L’ombra di uno Schrems 3
Il nuovo accordo dovrà, in un secondo momento, passare altresì il vaglio della Corte di Giustizia Europea. Non mancano infatti serrate critiche a questo nuovo accordo da parte di rilevanti esponenti dottrinali e, in particolare, dall’ormai celebre Max Schrems. Il presidente onorario del NOYB ha difatti promesso di sollevare un caso “Schrems III” per una serie di criticità del nuovo accordo.
Schrems non vede infatti come il nuovo accordo possa offrire adeguate garanzie in merito al rispetto dei principi di necessità e proporzionalità nell’accesso ai dati personali. A suo avviso la FISA 702 rappresenta infatti, anche alla luce dell’executive order, un limite troppo ingombrante alle garanzie richieste dal GDPR.
Trasferimento dati negli USA: punti critici e novità normative dell’Executive Order di Biden
Lo stesso ha poi criticato il sistema giurisdizionale previsto dall’accordo, tacciandolo di non offrire adeguate salvaguardie ai diritti dei cittadini europei.
Schrems ha dunque dichiarato che “non riesce ad immaginare come l’accordo possa sopravvivere a un’impugnazione” e che la Commissione “non fa altro che emettere decisioni simili in continuazione, in palese violazione dei nostri diritti fondamentali“.
Vi sono dunque pochi dubbi che il nuovo accordo arriverà presto sul tavolo dei giudici della CGUE, i quali saranno chiamati a verificare se sono state rispettate le indicazioni fornite nella sentenza Schrems II e se il trasferimento verso gli Stati Uniti offra adeguate garanzie per i diritti e le libertà degli interessati europei.
Conclusioni
La pubblicazione del draft in oggetto rappresenta sicuramente un nuovo momento di svolta per il travagliato tema dei trasferimenti di dati personali verso gli Stati Uniti. L’assenza di un accordo con gli USA rappresenta fuor di dubbio un oneroso gravame, per la storica vicinanza e la forte partnership che il nostro Paese, e gli altri Paesi membri dell’UE, hanno con gli USA.
In una società digitale interconnessa che non conosce confini territoriali è, difatti, un gravoso onere quello di limitare il trasferimento di informazioni essenziali verso i principali stakeholder con i quali ci interfacciamo ogni giorno (Google, Windows, Meta).
D’altro canto è imprescindibile che le garanzie ed i diritti riconosciuti dal nostro ordinamento, frutto di un’evoluzione normativa figlia di storiche battaglie civili e di democrazia, non siano aggirabili a seguito dello “spostamento” dei nostri dati oltre i confini europei.
Si tratta di un arduo bilanciamento tra due culture, lontane e vicine allo stesso tempo, che devono necessariamente interloquire. Se tale accordo ha raggiunto tale anelato obiettivo lo sapremo solo al termine di questo nuovo lungo iter che, con tale bozza, ha ufficialmente preso avvio.
Articolo originariamente pubblicato il 19 Dic 2022
