Dopo anni di incertezze in tema di trasferimento dei dati personali tra UE e USA, possiamo finalmente intravedere una ripresa, o per alcuni un nuovo inizio, del traffico intercontinentale di dati tra i due continenti, grazie alla nascita di un nuovo accordo transatlantico: il Data Privacy Framework.
Lo scorso 10 luglio, la Commissione Europea ha infatti annunciato l’adozione della decisione di adeguatezza, denominata EU-U.S. Data Privacy Framework, affermando che il nuovo quadro normativo statunitense garantisce adeguata protezione ai diritti e alle libertà degli “Interessati” europei.
Era dal luglio del 2020 che fiduciosi auspicavamo a un epilogo positivo e chiarificatore sui rapporti tra le due realtà internazionali.
Di fatto a seguito della sentenza della Corte di Giustizia sul caso “Schrems II”, che aveva definito invalido il Privacy Shield tra UE e USA, ha regnato un clima di incertezza e precarietà in tema di trasferimento di dati personali verso gli Stati Uniti.
Ma come si è giunti a questa decisione?
Il GDPR, definendo i criteri e i principi da adottare per il trasferimento di dati personali oltre i confini UE, ha stabilito che questi possono transitare senza necessità di ulteriore particolare rigore in presenza di una decisione di adeguatezza della Commissione Europea o di garanzie adeguate da parte dell’organizzazione, residente in territorio extra-UE, ricevente i dati personali (quali per esempio clausole contrattuali standard o norme vincolanti d’impresa).
Nel luglio 2020 la Corte di Giustizia Europea (appunto con la decisione “Schrems II”), aveva dichiarato inadeguato il cosiddetto “Privacy Shield”, ossia la precedente decisione di adeguatezza dell’ordinamento statunitense rispetto ai principi e ai valori prescritti dal GDPR (il caso prendeva l’avvio dal ricorso di Maximilian Schrems al Garante irlandese contro Facebook e il trasferimento dei propri dati trattati tramite il social network negli USA, proprio a causa dell’assenza delle opportune protezioni e garanzie contenute nell’ordinamento statunitensi, ritenute non adeguate né equivalenti a quelle predisposte dal GDPR).
In particolare, si è ritenuto che il Privacy Shield non avesse adeguatamente preso in considerazione tutte quelle normative statunitensi che, in nome della sicurezza nazionale e dell’interesse pubblico nazionale e federale, consentiva alle Autorità statunitensi di accedere ai dati personali degli interessati europei trattati da soggetti residenti sul suolo americano. Ciò, a discapito e in spregio alle tutele prestate dal GDPR a favore delle persone.
Qual è stato l’impatto di tale decisione?
Nei fatti, da un giorno con l’altro, molte società statunitensi (pensiamo a tanti fornitori di servizi in cloud, che sono di matrice americana), insieme ai loro clienti e fornitori europei, si sono ritrovate a non poter più dialogare o a dover contrattualizzare complesse misure organizzative e di sicurezza, in conseguenza del venir meno del Privacy Shield.
Nell’immediato lo scenario è quindi apparso allarmante e destabilizzante: era impensabile, per imprese e Pubblica amministrazione, eliminare qualsiasi servizio che, anche teoricamente, potesse comportare un trasferimento di dati personali verso gli Stati Uniti.
Sia le società extra-UE che quelle europee hanno avuto bisogno di tempo per riorganizzarsi e adattarsi al nuovo assetto legislativo. Molte società straniere hanno trasferito i propri server e sedi presso i territori UE, mentre altre hanno deciso di adottare altre basi giuridiche in attesa di un nuovo accordo transatlantico.
In cosa consiste il Data Privacy Framework?
In base al Data Privacy Framework e a partire dal 10 luglio 2023, il trasferimento di dati personali dall’Unione Europea verso le organizzazioni residenti negli Stati Uniti può avvenire sulla base della sola decisione di adeguatezza, senza necessità di ulteriori adempimenti previsti dal GDPR a carico dei titolari residenti in paesi extra UE e non “adeguati” (di nuovo, clausole contrattuali standard e norme vincolanti d’impresa).
Perché ciò accada, tali soggetti devono essere ricompresi nella cosiddetta ‘Data Privacy Framework List’, a seguito di un programma di (auto)certificazione del rispetto dei principi e dei valori espressi dal GDPR (in particolare dal suo art. 5: dovere di adeguata informativa, trasparenza, integrità dei dati, limitazione delle finalità, responsabilizzazione anche in caso di affidamento di alcune attività di trattamento a terzi responsabili esterni).
Il nuovo accordo prevede poi una serie di novità, volte tutte a rafforzare le tutele degli interessati europei nei confronti delle Autorità statunitensi, in particolare è stata introdotta una limitazione all’accesso dei dati da parte dei servizi di intelligence statunitensi, i quali dovranno agire secondo stretta necessità e proporzionalità.
Sarà inoltre istituito un Tribunale di Revisione sulla Protezione dei Dati (Data Protection Review Court), accessibile a tutti i soggetti UE anche per il tramite delle proprie Autorità Garanti.
Inoltre, il funzionamento del Data Privacy Framework sarà soggetto a revisioni periodiche (la prima, già nel 2024) da parte della Commissione Europea, insieme ai rappresentanti delle Autorità europee per la protezione dei dati e alle rispettive Autorità statunitensi.
Questo nuovo accordo può dirci soddisfatti?
Se “oltreoceano” le aziende (soprattutto le cosiddette Big Tech: Meta, Google, Amazon e via dicendo) hanno accolto con entusiasmo il Data Privacy Framework, nel nostro “Vecchio Continente” le perplessità non sono mancate.
Per alcuni il tema (principale) dell’invasività dei programmi di sorveglianza degli USA (pensiamo alle attività di sorveglianza di massa della National Security Agency) tornerà a riproporsi: anche se dovranno essere attuate nel necessario rispetto del principio di accesso ai dati “proporzionato”, la nozione di “proporzionalità” fatta propria dalle Autorità USA potrebbe non risultare conforme a quanto stabilito dall’art. 52 della Carta dei diritti fondamentali dell’Unione o essere interpretata estensivamente.
Cosa possiamo aspettarci?
Il rapporto tra Vecchio e Nuovo Continente è, spesso, complesso e al centro di diversi dibattiti.
Tuttavia, il Mondo è sempre più interconnesso ed era più che necessario garantire flussi sicuri UE-USA per i dati personali.
Anche se non c’è dubbio che la “tenuta” di questo quadro dipenderà quasi esclusivamente dalla volontà reale delle autorità statunitensi di mantener fede agli impegni presi
“per dare fiducia ai cittadini che i loro dati sono al sicuro, per approfondire i legami economici tra l’UE e gli Stati Uniti e allo stesso tempo per riaffermare i nostri valori condivisi”
(Ursula von der Leyen)
quel che è certo – oggi – è che l’adozione del Data Privacy Framework, e il suo rispetto da parte delle organizzazioni statunitensi, è un passaggio cruciale e fondamentale per garantire la tutela dei diritti alla protezione dei dati personali di tutti gli individui in un mondo sempre più digitale.