Il 28 febbraio scorso, l’European Data Protection Board (EDPB) ha emesso il parere n. 5/2023 (Opinion) circa la decisione di adeguatezza per il “Data Privacy Framework” (DPF) che consente il legittimo trasferimento dei dati personali tra Unione Europea e USA.
Il Comitato ha espresso le proprie valutazioni sul livello di protezione offerto negli Stati Uniti, soffermandosi, sulla possibilità di accesso e uso alle/delle informazioni da parte delle autorità pubbliche statunitensi, manifestando, a grandi linee, le proprie preoccupazioni ed invitando la Commissione a valutare tutti gli aspetti e le criticità.
Trasferimento dati Usa-Ue, le riserve dell’EDPB sul nuovo accordo: nodi e prossimi step
Le perplessità dell’EDPB
In prima battuta, il Comitato ha analizzato i possibili rischi connessi ai diritti dei soggetti interessati. Essi possono essere limitati solo ed esclusivamente per motivi di interesse pubblico, di sicurezza nazionale, per legge o per decisione giudiziaria. Con grande preoccupazione, l’EDPB ha sottolineato che la limitazione dei diritti degli interessati può concretizzarsi solo se ciò risulti strettamente necessario a tutelare diritti preminenti.
Le perplessità avanzate dal Comitato derivano dalla presenza, nella legislazione americana, di numerosi strumenti giuridici che tutelano la sicurezza nazionale, comprimendo i diritti degli interessati; si tratta dei “Foreign Intelligence Surveillance Act”, “Executive Order 12333” (“EO 12333”) ed “Executive Order 14086” (“EO 14086”). L’EDPB ha, quindi, ribadito che le garanzie prescritte da tali fonti normative debbano essere equivalenti a quelle stabilite dal quadro giuridico europeo, rimandando alla Commissione il controllo finale e raccomandandosi che la decisione di adeguatezza tenga in debita considerazione le prescrizioni normative interne al diritto statunitense ed il loro contemperamento con la protezione dei dati personali.
L’esercizio del diritto di accesso
Uno dei principali profili di criticità concerne proprio l’esercizio del diritto di accesso, soprattutto nelle ipotesi in cui le informazioni siano ottenute tramite fonti accessibili al pubblico, quindi anche agli organi di intelligence statunitensi. La normativa europea consente agli interessati di esercitare tale diritto in ogni momento ed in maniera agevole, pertanto la Commissione, a parere del Comitato, dovrebbe valutare attentamente i rischi derivanti da un accesso indiscriminato ai dati personali degli interessati. Il diritto di accesso, pur non qualificandosi come diritto assoluto, facilita l’esercizio di altri diritti, come il diritto alla cancellazione o il diritto di opposizione. Il Comitato, di conseguenza, ritiene necessario consentirne l’esercizio anche quando, ad esempio, il trattamento sia effettuato per finalità di marketing, raccomandando che la Commissione valuti il livello di specificità delle modalità con cui il diritto possa essere esercitato. L’EDPB sostiene che non possa essere considerato sufficiente un riferimento generico contenuto nell’informativa privacy: è fondamentale che l’interessato venga posto in condizioni concrete di esercitare tale diritto, in maniera agevole, in qualsiasi momento.
Il trattamento dei dati personali nel contesto dei rapporti di lavoro
L’Opinion del Comitato si sofferma, seppur brevemente, sul trattamento dei dati personali nel contesto dei rapporti di lavoro, focalizzando l’attenzione sulle finalità per cui i dati personali vengono trattati. Nel caso in cui, ad esempio, i dati siano raccolti dalla direzione “Risorse umane” di una società o di un’azienda e, successivamente, emerga l’esigenza del trattamento per scopi non legati all’occupazione lavorativa, sarà necessario procedere ad ulteriori e più precise valutazioni, specie con riferimento alla base giuridica da invocare, in quanto il consenso sarà raramente del tutto libero se prestato in un contesto lavorativo.
Il trasferimento successivo dei dati
Un ulteriore aspetto posto sotto la lente d’ingrandimento dell’EDPB riguarda il trasferimento successivo dei dati: il Comitato ribadisce che esso potrà essere consentito solo nel caso in cui anche il paese terzo sia soggetto a norme che garantiscano un livello adeguato di protezione. L’originario destinatario dei dati personali trasferiti dall’Unione Europea deve, infatti, garantire che siano fornite tutele appropriate per i trasferimenti successivi. Essi possono avvenire soltanto per finalità limitate e specifiche e in presenza di un’idonea base giuridica, come previsto dal Regolamento (UE) 2016/679 (“GDPR”), poiché l’eventuale trasferimento successivo non può intaccare il principio di continuità nella protezione dei dati personali degli interessati.
I processi decisionali automatizzati
Il Comitato si sofferma anche sulle decisioni basate interamente su processi decisionali automatizzati, compresa la profilazione. Se, in territorio europeo, l’assenza di regole proprie non inficia il livello di protezione dei dati personali raccolti, poiché, nella maggioranza dei casi, il titolare ha una relazione diretta con l’interessato ed è coperto dalle tutele stabilite dall’art. 22 del GDPR, nel DPF non sono previste garanzie specifiche per i soggetti sottoposti a tali decisioni. L’EDPB puntualizza, quindi, che la base giuridica invocabile è il consenso o il contratto e ricorda che il processo decisionale automatizzato potrebbe essere utilizzato anche da un titolare con sede negli USA. In questa maniera, il livello di protezione sembra modificarsi a seconda delle circostanze concrete in cui avvenga il trattamento. Il Comitato ritiene, di conseguenza, che siano necessarie norme specifiche che forniscano all’interessato determinate garanzie, tra cui il diritto di essere informato sulle ragioni a fondamento della decisione, il diritto di contestare la decisione qualora sia stata invocata una base giuridica errata e di ottenere la correzione delle informazioni inesatte. L’interessato deve, inoltre, poter richiedere l’intervento umano quando la decisione produca impatti significativi sulla propria sfera giuridica.
Il ruolo del nuovo Ordine Esecutivo 14086
L’EDPB si concentra sulla circostanza che l’entrata in vigore e l’adozione della decisione di adeguatezza da parte della Commissione siano condizionate all’implementazione dell’Ordine Esecutivo 14086[1], nuova fonte governativa statunitense che rafforza le garanzie per le attività svolte dall’intelligence americana e che riguarda la raccolta di informazioni mediante procedimenti di intercettazione e analisi di segnali di intelligence.
Trasferimento dati Ue-Usa: tutti i dubbi sull’ordine esecutivo di Biden
Necessità e proporzionalità nel trattamento delle informazioni
Vengono, così, introdotti i fondamentali concetti di necessità e proporzionalità nel trattamento delle informazioni, con la previsione di un meccanismo di ricorso individuale per i cittadini europei, significativamente migliorato rispetto a quanto previsto dall’ormai invalidato “Privacy Shield”, in seguito alla sentenza nella causa C-311/18 Data Protection Commissioner/Maximilian Schrems e Facebook Ireland, meglio nota come “Schrems II”. L’Ordine Esecutivo 14086 fornisce maggiori garanzie per l’indipendenza della “Data Protection Review Court” (“DPRC”), Tribunale per la revisione della protezione dei dati, istituito dal Regolamento del Procuratore Generale statunitense, quale organo deputato alla corretta applicazione delle misure a tutela delle informazioni personali. Peraltro, la costituzione del Tribunale ha acceso un aspro dibattito, in quanto esso è creato all’interno del Dipartimento di Giustizia statunitense. Si teme, quindi, che l’organo possa operare in maniera non indipendente e parziale.
I meccanismi di ricorso riconosciuti agli interessati
In merito ai meccanismi di ricorso riconosciuti agli interessati, l’EDPB approva le sette tipologie presenti nella Draft Decision[2], pur richiedendo delle ulteriori specificazioni in merito, quali maggiori dettagli sui requisiti previsti dalla legislazione americana citata o sul ruolo delle autorità dei singoli Stati membri e di quelle europee. Riguardo all’introduzione dei principi di necessità e proporzionalità, essi sono ricondotti al contesto delle operazioni di raccolta di informazioni tramite intercettazione e nell’esecuzione di attività di intelligence: raccolta e trattamento dei dati devono essere limitati a quanto necessario e proporzionato per il raggiungimento delle relative finalità. Il Comitato accoglie, quindi, positivamente il fatto che l’Ordine Esecutivo 14086 preveda dodici finalità per le quali i dati possano essere raccolti[3] e cinque per le quali il trattamento dei dati non può essere effettuato[4].
Conservazione dei dati raccolti tramite le attività di intercettazione e sorveglianza
L’EDPB manifesta la propria preoccupazione anche in relazione alle regole sulla conservazione dei dati raccolti tramite le attività di intercettazione e sorveglianza. L’Ordine Esecutivo 12333, risalente al 1981, consente la raccolta massiva dei dati, senza la previsione di un’autorizzazione preventiva da parte di un’autorità indipendente, né di un riesame compiuto ex post. Sulla falsariga di quanto precedentemente statuito, il nuovo Ordine 14086 non indica un preciso periodo di conservazione di tali informazioni. Il Comitato, pertanto, invita la Commissione a valutare adeguatamente tale elemento, prima di procedere alla decisone di adeguatezza.
La diffusione ulteriore dei dati raccolti
L’ultimo – non certo per importanza – aspetto critico coinvolge la diffusione ulteriore dei dati raccolti. L’Ordine Esecutivo 14086 prevede che i dati dei cittadini non statunitensi possano essere nuovamente divulgati, se si ha contezza documentale che essi saranno protetti in modo adeguato. Tale previsione non vieta, però, espressamente una diffusione per scopi diversi da quelli di sicurezza nazionale; pertanto, il Comitato ha rimarcato il fatto che la protezione dei dati deve essere garantita anche nel successivo trasferimento.
L’EDPB ricorda, infine, che il monitoraggio e la revisione della decisione di adeguatezza eventualmente assunta spettano alla Commissione, che ha anche l’onere di controllare periodicamente che il livello di protezione garantito da uno stato terzo venga rispettato, anche successivamente all’assunzione di tale decisione. Inoltre, la Commissione dovrebbe effettuare procedure di riesame almeno ogni tre anni. Infine, la redazione di ogni documento rilevante dovrebbe essere condivisa con il Comitato stesso, in modo da garantire che gli aspetti concreti siano condivisi da tutte le istituzioni coinvolte.
Trasferimento dati Ue-Usa, confutiamo le critiche all’executive order di Biden
Conclusioni
Sarà importante verificare fino a che punto giungerà il “braccio di ferro” in corso tra la legislazione statunitense e le perplessità manifestate dal Comitato. La posizione della Commissione è seriamente delicata, dal momento che ha l’onere di valutare con attenzione ed in maniera ponderata i profili di garanzia concessi dalla normativa d’oltreoceano, per tutelare i dati personali degli interessati dell’Unione. Quel che appare certo è che la finalizzazione del DPF è l’unico modo per assicurare la completa legittimità del trasferimento dei dati personali verso gli USA. Risulta alquanto complicato sostenere che le parti private, tramite le clausole contrattuali standard, ad esempio, siano in grado di attestare il livello di tutela adeguato, se negli Stati Uniti è la stessa legge ad allargare le maglie dei poteri operativi delle autorità di intelligence.
Note
- “Executive Order 14086—Enhancing Safeguards for United States Signals Intelligence Activities” del 7 ottobre 2022, https://www.govinfo.gov/content/pkg/FR-2022-10-14/pdf/2022-22531.pdf ↑
- Contatto diretto con i soggetti che aderiscono ai principi del DPF; ricorso a un organismo indipendente di risoluzione delle controversie; ricorso all’Autorità Nazionale di Protezione dei Dati; ricorso al Dipartimento del Commercio statunitense; ricorso alla Federal Trade Commission; arbitrato vincolante del Data Privacy Framework Panel; ulteriori ricorsi giudiziari. ↑
- Essi sono: comprendere o valutare le capacità, le intenzioni o le attività di un soggetto straniero per proteggere la sicurezza nazionale degli Stati Uniti; comprendere o valutare le capacità, le intenzioni o le attività di organizzazioni straniere, comprese quelle terroristiche che rappresentano una minaccia attuale o potenziale alla sicurezza nazionale degli Stati Uniti;comprendere o valutare le minacce transnazionali che impattano sulla sicurezza globale;proteggere dalle attività militari straniere;
proteggere dal terrorismo e dalla cattura di ostaggi eseguiti per conto di un’entità straniera;
proteggere dallo spionaggio, dal sabotaggio e da altre attività di intelligence eseguite per conto di un’entità straniera;
proteggere dalle minacce derivanti dallo sviluppo, possesso o diffusione delle armi di distruzione di massa o di tecnologie correlate condotte per conto di un’entità straniera;
proteggere dalle minacce di cybersecurity create o usate da un’entità straniera;
proteggere dalle minacce la popolazione degli Stati Uniti;
proteggere dalle minacce criminali transnazionali, compresi i finanziamenti illeciti e l’elusione delle sanzioni;
proteggere l’integrità delle elezioni e della politica, delle proprietà governative e delle infrastrutture statunitensi dalle attività condotte per conto di un’entità straniera;
sviluppare le capacità operative o di raccolta per perseguire una delle suddette finalità.
Vd. Ordine Esecutivo 14086, section 2, (b), (i), A. ↑
- Le attività di raccolta non possono avvenire per:reprimere la critica, il dissenso e la libertà di espressione di persone e stampa;reprimere o limitare interessi legittimi di privacy;reprimere o limitare il diritto di difesa;discriminare per motivi etnici, razziali, sesso, di identità di genere, orientamento sessuale o religione
raccogliere informazioni commerciali straniere private o segreti industriali per offrire un vantaggio competitivo alle aziende statunitensi.
Vd. Ordine Esecutivo 14086, section 2, (b), (ii). ↑
