La Commissione Europea ha adottato il 10 luglio una decisione di adeguatezza del Data Privacy Framework, il quadro normativo americano in materia di protezione dei dati per il trasferimento di dati personali UE-USA che ora potrà avvenire in modo sicuro senza dover predisporre ulteriori garanzie per la protezione dei dati.
La precedente decisione di adeguatezza sul Privacy Shield era stata “l’oggetto” della sentenza Schrems II.
La decisione sull’adeguatezza
La decisione sull’adeguatezza appena adottata dalla Commissione europea sul Data Privacy Framework americano per il trasferimento dati UE-USA si basa sul principio per cui la data protection statunitense è, ormai, equiparabile a quella europea.
La nuova decisione di adeguatezza (adottata a norma dell’articolo 45, paragrafo 3 del GDPR che conferisce, appunto, alla Commissione il potere di decidere, mediante un atto di esecuzione, che un Paese non appartenente all’UE garantisce “un livello di protezione adeguato”) determina una base giuridica certa per il trasferimento dei dati personali dall’UE alle società statunitensi che partecipano al Data Privacy Framework, senza dover predisporre ulteriori garanzie per la protezione dei dati.
Il quadro normativo per il trasferimento dati UE-USA
La decisione di adeguatezza adottata il 10 luglio 2023 dalla Commissione UE rafforza di fatto il Data Privacy Framework introducendo nuove garanzie vincolanti per rispondere ai rilievi della Corte di giustizia europea, tra cui – soprattutto – la limitazione dell’accesso ai dati dell’UE da parte dei servizi di intelligence statunitensi.
Questi ultimi non potranno più accedere in modo indiscriminato ai dati dei cittadini europei, ma dovranno limitarsi a quanto strettamente indispensabile e dovranno operare secondo un criterio di proporzionalità.
Ma l’adeguatezza può avere vita breve, tante le critiche
La recente approvazione da parte della Commissione Europea del “EU-US Data Privacy Framework”, accordo sul trasferimento dei dati tra l’Unione Europea e gli Stati Uniti, ha suscitato reazioni contrastanti e sollevato quesiti sulla sua autentica validità e capacità di garantire la protezione dei dati personali dei cittadini europei.
Cosa accadrà ora? Per rispondere a questa domanda è necessario fare un passo indietro e ricordare che il Parlamento Europeo appena due mesi fa, a maggio, aveva giudicato le misure statunitensi insufficienti a tutelare i dati dei cittadini europei, invitando la Commissione Europea a riaprire i negoziati.
EDPB – i regolatori europei della privacy – ha pure osservato che occorre monitorare attentamente il funzionamento pratico del meccanismo di ricorso e l’interpretazione dei principi di necessità e proporzionalità.
A febbraio, il Comitato europeo per la protezione dei dati, che riunisce tutte le autorità di protezione dei dati dell’UE, ha evidenziato diversi punti da migliorare, in particolare per quanto riguarda i diritti degli interessati, i trasferimenti successivi di dati e la raccolta temporanea di dati in massa.
Max Schrems ha dichiarato di avere pronto un nuovo ricorso alla CGUE, perché quest’ultima decisione di adeguatezza è uguale alle precedenti, nella sostanza.
Tutto ciò, inevitabilmente, solleva grossi dubbi riguardo alla consistenza e alla lunga durata di un accordo che è stato gestito in modo affrettato dalla Commissione e che potrebbe quindi essere impugnato e nuovamente invalidato dalla Corte di Giustizia.
Anna Cataleta
Di nuovo conio l’istituzione di un Tribunale per il riesame della protezione dei dati (DPRC), a cui avranno accesso le persone dell’UE; il tribunale potrà ordinarne la cancellazione dei dati qualora accertasse la sussistenza di trattamenti in violazione delle nuove garanzie.
Inoltre, le nuove garanzie in materia di accesso ai dati da parte dei governi integreranno gli obblighi che le aziende statunitensi che importano dati dall’UE dovranno sottoscrivere, anche in vista della compliance determinata dal Digital Service Act, dal Digital markets Act e in vista della regolamentazione dell’intelligenza artificiale mediante l’AI Act.
Ovviamente molto soddisfatta per il risultato politico la Presidente Ursula von der Leyen, che ha dichiarato: “Il nuovo Data Privacy Framework UE-USA garantirà flussi di dati sicuri per gli europei e porterà certezza giuridica alle aziende su entrambe le sponde dell’Atlantico. A seguito dell’accordo di principio che ho raggiunto con il Presidente Biden l’anno scorso, gli Stati Uniti hanno assunto impegni senza precedenti per istituire il nuovo framework. Oggi compiamo un passo importante per garantire ai cittadini la sicurezza dei loro dati, per approfondire i legami economici tra l’UE e gli Stati Uniti e per riaffermare al tempo stesso i nostri valori comuni. Questo dimostra che lavorando insieme possiamo affrontare le questioni più complesse”.
Cosa cambia per le aziende USA
Alla luce della nuova decisione di adeguatezza per il trasferimento dati UE-USA, le aziende statunitensi potranno aderire al Data Privacy Framework sul trasferimento dei dati UE-USA impegnandosi a rispettare una serie dettagliata di obblighi in materia di privacy.
In primo luogo, avranno l’obbligo di cancellare i dati personali quando non sono più necessari per lo scopo per cui sono stati raccolti e di garantire la continuità della protezione quando i dati personali sono condivisi con terzi; in altri termini, dovranno operare secondo le regole del GDPR, in termini di minimizzazione, privacy by design e by default.
Per i cittadini europei sono inoltre previsti diversi strumenti di risoluzione delle controversie per il trattamento illecito dei dati, come meccanismi indipendenti e gratuiti di risoluzione delle controversie e un collegio arbitrale.
Dal lato americano del nuovo framework normativo per la protezione dei dati personali, invece, è prevista una serie di salvaguardie per quanto riguarda l’accesso ai dati trasferiti nell’ambito del quadro normativo da parte delle autorità pubbliche statunitensi, in particolare per scopi di applicazione della legge penale e di sicurezza nazionale.
In particolare, l’accesso ai dati è limitato a quanto necessario e proporzionato per proteggere la sicurezza nazionale: nulla, peraltro, che non sia già previsto anche nell’Unione europea; si tratta solo di comprendere – Snowden insegna – in quali termini verranno declinati i conetti di proporzionalità e di sicurezza nazionale oltreoceano.
Infine, da segnalare che le garanzie messe in atto dagli Stati Uniti faciliteranno anche i flussi di dati transatlantici più in generale, poiché si applicano anche quando i dati vengono trasferiti utilizzando altri strumenti, come le clausole contrattuali standard e le norme vincolanti d’impresa.
Il primo riesame avverrà entro un anno dall’entrata in vigore della decisione di adeguatezza, al fine di verificare che tutti gli elementi pertinenti siano stati pienamente attuati nel quadro giuridico statunitense e funzionino efficacemente nella pratica.
Conclusioni
Le premesse sono buone: a parole tutto appare corretto e funzionale.
Sotto il profilo economico, le parti interessate stimano in circa 900 milioni di euro in volume d’affari incentivato con la decisione di adeguatezza.
Sotto il profilo della sostenibilità economica e della certezza del diritto per le big tech statunitensi, non c’è dubbio che la decisione abbia un impatto anche maggiore.
Le conseguenze della sentenza Schrems II si calcolano in miliardi di euro di sanzioni, da Facebook (1,2 miliardi a maggio) a Google (ban di GA3).
L’Unione europea, d’altra parte, non poteva pretendere di far accedere le big tech statunitensi al proprio mercato digitale interno – a cui sono, peraltro, estremamente funzionali – scaricando su di loro sia i costi di gestione delle strutture che monitorano i servizi digitali (DSA), sia il costo delle pesantissime sanzioni determinate dalla sentenza Schrems II.
Il controllo più pervasivo e mirato della Corte di Giustizia e delle soluzioni per i cittadini dell’Unione in caso di violazione delle norme sul trattamento dei dati personali determina un significativo abbattimento dei costi da trattamento illecito, che potrebbero anche essere oggetto di assicurazione.
Ci sarà una sentenza Schrems III? La risposta è: forse, a condizione che vi sia un nuovo caso Snowden.
Piaccia o meno, infatti, l’accordo del 10 luglio 2023 ed i miliardi di euro di sanzioni ed investimenti made in U.S.A. in compliance per il mercato europeo hanno tre padri: Edward Snowden, Julian Assange e Maximilian Schrems.
