Prosegue l’iter approvativo che potrebbe concludersi con un nuovo accordo per il trasferimento di dati personali verso gli Stati Uniti d’America che andrebbe a semplificare notevolmente i flussi di informazioni verso gli USA e, quindi, agevolare l’utilizzo di servizi, provider US-based da parte di aziende e Pubbliche Amministrazioni aventi sede nello Spazio Economico Europeo.
Indice degli argomenti
Trasferimenti dati verso gli USA, prosegue l’iter approvativo del nuovo accordo
Il 13 dicembre 2022, la Commissione europea ha pubblicato un progetto di decisione di adeguatezza che definisce un nuovo framework per gli scambi transatlantici di dati personali tra UE-USA, il Data Privacy Framework (“DPF”) che è destinato a prendere il posto dell’U.S. Privacy Shield invalidato dalla Corte di giustizia dell’Unione europea (“CGUE”) il 16 luglio 2020, con la celebre sentenza Schrems II.
L’iter per adottare una decisione di adeguatezza ai sensi dell’art. 46 GDPR prevede diversi passi che, in linea con quanto stabilito dall’art. 70 GDPR, coinvolgono anche l’European Data Protection Board, ossia l’istituzione comunitaria indipendente che contribuisce all’applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione europea e promuove la cooperazione tra le autorità di controllo.
Tra i compiti espressamente attribuiti all’EDPB vi è infatti anche quello di fornire pareri alla Commissione europea sulle questioni riguardanti la protezione dei dati e qualsiasi nuova normativa dell’UE di particolare importanza per la protezione dei dati personali.
L’art. 70, par. 1, lett. s), GDPR prevede che l’EDPB fornisca alla Commissione un parere per valutare l’adeguatezza del livello di protezione di un Paese terzo o in un’organizzazione internazionale.
Il parere dell’EDPB, tra luci e ombre
Proprio in linea con quanto previsto dall’art. 70, il 28 febbraio 2023, l’EDPB ha espresso il proprio parere non vincolante sul progetto di decisione di adeguatezza stilato dalla Commissione Europea sul trasferimento di dati personali dei cittadini europei verso gli Stati Uniti d’America.
L’EDPB, nell’incipit del suo parere, sottolinea come il quadro statunitense in materia di protezione dei dati non debba, di per sé, replicare la normativa europea in materia, tuttavia ricorda che, per poter ravvisarsi un livello di protezione adeguato, l’articolo 45 del GDPR e la giurisprudenza della CGUE richiedono che la legislazione del Paese terzo fornisca agli interessati un livello di protezione sostanzialmente equivalente a quello garantito nell’UE.
L’EDPB ha espresso dunque il proprio parere circa l’adeguatezza del livello di protezione offerto negli USA, sulla base dell’esame del progetto di decisione e tenendo in considerazione le potenzialità e i rischi dell’accesso e dell’utilizzo dei dati personali trasferiti dall’UE da parte delle autorità pubbliche statunitensi.
Il giudizio emergente dall’opinion è tendenzialmente positivo con, tuttavia, alcune importanti riserve.
L’EDPB, difatti, prende atto ed accoglie con favore i sostanziali miglioramenti apportati dal governo statunitense nel nuovo quadro per la protezione dei dati trasferiti negli Stati Uniti, pur esprimendo alcune riserve su determinate tematiche.
Più specificamente, il parere evidenzia alcune criticità già sollevate in passato dal Working Party Article 29 e dall’EDPB sul precedente Privacy Shield che rimangono ancora attuali, in particolare per quanto riguarda i diritti garantiti agli interessati, la mancanza di chiarezza in relazione all’applicazione dei principi del DPF agli eventuali responsabili e subresponsabili del trattamento e l’ampia esclusione delle informazioni disponibili al pubblico.
Trasferimenti di dati personali UE-USA: si cerca una “soluzione universale”
Nell’accordo sono presenti dei richiami ad alcune deroghe ed eccezioni ai principi e disposizioni previste nel DPF. L’EDPB raccomanda alla Commissione di specificare più puntualmente, nel testo della decisione, la portata delle eventuali deroghe al rispetto dei dettami espressi nel DPF, al fine di individuare meglio l’impatto di tali deroghe sul livello di protezione dei dati degli interessati.
Spostandosi sulle procedure previste per eventuali ricorsi e reclami sul rispetto degli accordi statuiti nel DPF, l‘EDPB ravvede nel nuovo strumento di ricorso previsto dall’Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities (“Executive Order”) un significativo passo avanti rispetto al precedente meccanismo previsto dal Privacy Shield, ma osserva come sia necessario definire alcune questioni ancora non del tutto chiare.
Il parere sottolinea quindi i miglioramenti significativi relativi ai poteri del Data Protection Review Court (“DPRC”) e la sua maggiore indipendenza rispetto al mediatore previsto dal Privacy Shield abrogato. Tuttavia, viene richiesto alla Commissione di verificare attentamente le applicazioni pratiche del meccanismo di ricorso.
L’EDPB ha accolto con favore il proposito della Commissione di mantenere la facoltà unilaterale di sospendere, abrogare o modificare la decisione di adeguatezza laddove sussistano motivi di urgenza così come l’introduzione dei principi di necessità e proporzionalità previsti dall’Executive Order e il meccanismo di ricorso individuale per gli interessati dell’UE.
Le reazioni
Già diverse Data Protection Authorities hanno espresso pubblicamente le loro “reaction” al parere dell’EDPB.
Alcune di esse hanno dato maggior risalto agli sforzi compiuti dagli Stati Uniti in termini di “adeguamento e concessioni” alle richieste emergenti da giurisprudenza e assetto normativo comunitario, altre hanno sottolineato come persistano delle criticità che dovranno necessariamente essere tenute in considerazione dalla Commissione Europea o, in ogni caso, superare il vaglio della Corte di Giustizia di Strasburgo.
Trasferimento dati UE-USA, primo passo verso una decisione di adeguatezza: ecco la bozza
In un tweet, il Commissario UE per la Giustizia Didier Reynders ha dichiarato: “Ora analizzeremo attentamente il parere (dell’EDPB) sul progetto di decisione di adeguatezza UE-USA. Questo segna un altro passo significativo nel ripristino di flussi di dati transatlantici sicuri“.
Il clima è quindi di ottimistica attesa nonostante i rilievi fatti emergere dall’EDPB e, prima di questo e in maniera decisamente più tranciante, dal Parlamento Europeo.
Ricordiamo che, nell’iter approvativo di cui all’art. 70 GDPR, i due pareri espressi da EDPB e Parlamento Europeo non sono vincolanti per la Commissione, che è quindi libera di procedere con l’accordo per il trasferimento di dati verso gli Stati Uniti e la relativa decisione di adeguatezza.
Tuttavia queste due decisioni non possono essere sottovalutate e devono essere lette come un segnale di possibile fragilità dell’accordo, che, come già preannunciato, dovrà resistere al vaglio giurisdizionale della Corte di Giustizia europea.
