Nella giornata del 10 luglio 2023 la Commissione Europea ha stabilito l’adeguatezza del EU-US Data Privacy Framework, chiudendo in questo modo un periodo di incertezza che durava da anni e che metteva tutte quelle aziende e pubbliche amministrazioni che utilizzavano servizi digitali made in USA in una situazione di tensione e instabilità. Ma possiamo considerare questo accordo come una mossa risolutiva?
Cosa è successo prima del Data Privacy Framework?
L’articolo 45(3) del Regolamento Generale sulla Protezione dei Dati (GDPR) concede alla Commissione il potere di determinare, tramite un provvedimento esecutivo, che un paese esterno all’Unione Europea garantisce un “livello adeguato di tutela” dei dati personali, sostanzialmente equivalente a quello presente all’interno dell’UE. Le decisioni di adeguatezza permettono ai dati personali di fluire liberamente dall’UE (inclusa Norvegia, Liechtenstein e Islanda) a un paese terzo senza ulteriori ostacoli.
Dopo l’annullamento della precedente decisione di adeguatezza riguardante il Privacy Shield UE-USA da parte della Corte di Giustizia dell’UE, la Commissione Europea e il governo degli Stati Uniti hanno iniziato a discutere un nuovo quadro che affrontasse le problematiche sollevate dalla Corte.
Nel marzo 2022, la Presidente Von Der Leyen e il Presidente Biden hanno annunciato di aver raggiunto un accordo preliminare su un nuovo quadro per il trasferimento dei dati transatlantici, dopo negoziati condotti dal Commissario Reynders e il Segretario di Stato Raimondo. Nell’ottobre 2022, il Presidente Biden ha emesso un Ordine Esecutivo sul “Potenziamento delle Protezioni per le Attività di Intelligence dei Segnali degli Stati Uniti”, completato da regolamenti emanati dal Procuratore Generale degli Stati Uniti Garland. Insieme, questi due strumenti hanno attuato gli impegni assunti dagli Stati Uniti nell’ambito dell’accordo preliminare nel contesto legislativo degli Stati Uniti e hanno soddisfatto gli obblighi delle aziende statunitensi nell’ambito del Quadro sulla Privacy dei Dati UE-USA.
Un punto essenziale del quadro giuridico statunitense che istituisce tali garanzie è l’Ordine Esecutivo statunitense sul “Potenziamento delle Protezioni per le Attività di Intelligence dei Segnali degli Stati Uniti”, il quale affronta le preoccupazioni sollevate dalla Corte di Giustizia dell’Unione Europea nella sua decisione Schrems II del luglio 2020.
Il Quadro è gestito e monitorato dal Dipartimento del Commercio degli Stati Uniti. La Federal Trade Commission statunitense sarà responsabile dell’applicazione della conformità delle aziende statunitensi.
Il 10 luglio, la Commissione Europea ha adottato la sua decisione di adeguatezza per il Quadro sulla Privacy dei Dati UE-USA. Tale decisione stabilisce che gli Stati Uniti garantiscono un livello adeguato di tutela, equiparabile a quello dell’UE, per i dati personali trasferiti dalle aziende dell’UE alle aziende statunitensi che partecipano al Quadro sulla Privacy dei Dati UE-USA.
La decisione di adeguatezza è stata presa a seguito della firma da parte degli Stati Uniti di un Ordine Esecutivo sul “Potenziamento delle Protezioni per le Attività di Intelligence dei Segnali degli Stati Uniti”, che ha introdotto nuove salvaguardie vincolanti per affrontare le problematiche sollevate dalla Corte di Giustizia dell’Unione Europea nella sua decisione Schrems II del luglio 2020. In particolare, i nuovi obblighi miravano a garantire che i dati possano essere accessibili alle agenzie di intelligence statunitensi solo nella misura necessaria e proporzionata, e a istituire un meccanismo di ricorso indipendente e imparziale per gestire e risolvere i reclami dei cittadini europei relativi alla raccolta dei loro dati per fini di sicurezza nazionale.
Cosa stabilisce l’EU-US Data Privacy Framework?
Dunque, la presente determinazione sostiene che nell’ambito del nuovo quadro giuridico gli Stati Uniti offrano per i dati personali trasferiti dall’UE alle imprese statunitensi un livello di protezione adeguato, simile a quello dell’Unione Europea. In base a questa decisione di adeguatezza, i dati personali possono essere trasferiti in modo sicuro dall’UE alle imprese americane che aderiscono al Framework, senza la necessaria adozione di ulteriori misure di protezione dei dati.
Quali sono le novità del Framework UE-USA sulla privacy dei dati
Per affrontare le perplessità sollevate dalla Corte di Giustizia Europea, il nuovo Data Privacy Framework innanzitutto introduce misure che limitano l’accesso ai dati dell’UE dei servizi di intelligence USA solo nel momento in cui emerge una necessità. Viene, inoltre, istituito un Tribunale di Revisione sulla Protezione dei Dati (Data Protection Review Court, DPRC) a cui avranno libero accesso gli individui dell’UE.
Il nuovo quadro migliora in modo significativo alcuni meccanismi del già esistente Privacy Shield, il regolamento bocciato nel 2020 dalla Corte di Giustizia Europea: se il DURC, ad esempio, stabilisce che i dati sono stati raccolti violando le nuove misure di protezione, potrà ordinare la loro eliminazione. Inoltre, le nuove misure di protezione nell’ambito dell’accesso governativo ai dati integreranno gli obblighi che le aziende statunitensi che importano dati dall’UE dovranno rispettare.
Le aziende aderenti all’EU-U.S. Data Privacy Framework saranno obbligate a cancellare i dati personali allorquando non saranno più necessari allo scopo per cui sono stati raccolti, dovranno continuare a garantire la protezione quando i dati personali vengono condivisi con terze parti.
I soggetti UE potranno beneficiare di differenti modalità di ricorso nel caso in cui la gestione dei loro dati da parte delle aziende USA si riveli errata. Tra queste modalità vale la pena menzionare dei meccanismi di risoluzione delle controversie indipendenti gratuiti e un panel di arbitrato indipendente e imparziale, ossia il neonato DPRC, che indagherà e risolverà in modo indipendente i reclami, compresa l’adozione di misure correttive vincolanti.
Lato vantaggi a favore dei soggetti USA, il Data Privacy Framework prevede una serie di salvaguardie nell’ambito dell’accesso ai dati trasferiti dalle autorità pubbliche, soprattutto per scopi di applicazione della legge penale e di sicurezza nazionale, per cui gli individui statunitensi avrebbero accesso ai dati limitatamente a ciò che è necessario e proporzionato alla protezione della sicurezza nazionale.
Le tutele attuate dagli Stati Uniti serviranno anche ad agevolare i flussi di dati transatlantici, poiché si applicheranno anche nei contesti di trasferimento dei dati mediante altri strumenti, come le clausole contrattuali standard e le regole aziendali vincolanti.
Quali sono i prossimi passi?
I meccanismi del Data Privacy Framework saranno soggetti alle revisioni periodiche attuate dalla Commissione Europea e dai rappresentanti delle autorità europee per la protezione dei dati e le competenti autorità statunitensi. La prima revisione avrà luogo entro un anno dall’entrata in vigore del nuovo accordo, con lo scopo di attestare che tutte le disposizioni rilevanti siano state effettivamente implementate e messe in pratica nel quadro giuridico USA.
Per quanto riguarda i servizi digitali statunitensi utilizzati da molte aziende e PA la decisione di adeguatezza per ora rende legittimo il ricorso a fornitori USA, come, ad esempio, Google Meet, Microsoft Teams e, soprattutto, Google Analytics e Google Font, nell’occhio del ciclone dopo le migliaia di diffide inviate da MonitoraPA.
La decisione di adeguatezza rappresenta un atto risolutivo?
Il futuro è alquanto incerto. Sicuramente si tratta di un passo inevitabile e preannunciato che pare più una mossa politica, ma che senza dubbia allevia il peso dell’incertezza che ha permeato gli ultimi mesi . Tuttavia, in ambito legale sono ancora forti i dubbi sulla reale volontà degli USA di andare incontro alle esigenze dell’UE, di seguito le parole dell’avvocato Andrea Lisi:
La decisione non è esente da problematiche legate a dettagli non superabili che riguardano la normativa USA e che potranno essere risolti solo dagli USA. E occorre verificare se la volontà reale c’è e con quali tempistiche. Inoltre, il rischio è che tutto lo spam subito in questi mesi provochi nelle PA una visione verso la protezione dei dati personali di pericoloso rigetto. Non vorrei che tutto il pensiero (correttamente) critico verso soluzioni extra UE venga cancellato del tutto da una decisione, pur utile, ma non risolutiva.
In ogni caso la materia, andrebbe approfondita con approccio dettato dall’accountability, privacy by design e by default, quindi da consapevolezza diffusa da parte di titolari, responsabili e interessati del trattamento. E non so quanto questo approccio sia stato favorito dalle azioni sistematiche e allarmistiche di MonitoraPA. Non vorrei che alla fine siano stati compiuti pericolosi passi indietro, benedetti oggi da questa decisione.Insomma, non vorrei che questo rilassamento generale costituisse una tombale resa verso i GAFAM.
L’unico modo per tutelare i diritti fondamentali dei cittadini europei è informarli, formarli, rendendoli consapevoli, quindi alleati di certe politiche corrette.
Nel frattempo, anche Noyb, l’associazione di attivisti per la protezione dei dati personali, pare avere molti dubbi in merito al Data Privacy Framework, dichiarando già la volontà di ricorrere al Corte di Giustizia Europea.
