Sono ancora in corso – a circa due anni dalla sentenza Schrems II, le trattative fra Unione Europea e Stati Uniti volte ad assicurare un nuovo accordo di trasferimento dei dati personali, denominato Digital Bridge, e allo stesso tempo, a scongiurare il pericolo di blocco dei trasferimenti dei dati europei verso gli USA.
La vicenda prende avvio dalla pronuncia della Corte di Giustizia Europea, del 16 luglio 2020, che ha invalidato la decisione di adeguatezza, basata sull’accordo denominato Privacy Shield, adottata dalla Commissione europea in seguito alla decadenza dell’accordo “Safe Harbour”.
Trasferimento dati all’estero, come garantirlo senza violare il Gdpr: nodi e possibili soluzioni
La Corte di Giustizia Europea con la sentenza ha stabilito che gli USA non assicurano un livello di protezione dei dati personali sostanzialmente equivalente a quello garantito dall’Unione Europea e, allo stesso tempo, affermato la validità delle clausole contrattuali standard (SCCs) come meccanismo idoneo di trasferimento dei dati, purché però venga verificata l’adeguatezza del trasferimento e, se del caso, siano individuate le misure supplementari fornite dall’European Data Protection Board (EDPB).
Gli obiettivi del nuovo accordo
All’indomani della storica sentenza Schrems II, UE e USA hanno annunciato di avere dato avvio a un dialogo al fine di elaborare un quadro normativo che possa adeguarsi alla sentenza. Quello che per molti rischiava di rimanere soltanto un auspicio si è concretizzato ed in effetti le due potenze hanno da mesi intrapreso le trattative per un possibile terzo accordo.
Obiettivo dichiarato del nuovo accordo consiste nel garantire ai cittadini europei una maggiore tutela dei diritti privacy definendo i limiti di accesso ai dati da parte delle agenzie di intelligence americane.
Non solo, merita di essere menzionato lo sforzo dei negoziatori americani che hanno proposto alla controparte europea un accordo di tipo politico che prevede la possibilità di un nuovo regime di supervisione quasi-giudiziaria sulle agenzie di sicurezza nazionale per ottenere un nuovo patto firmato prima della fine del 2021.
La proposta americana però non sembra aver convinto i negoziatori europei e il tavolo resta ancora aperto. Gli sforzi di intesa, tuttavia, sono da considerare un primo passo di adeguatezza agli strumenti di tutela forniti dal Regolamento UE 679/2016 ma che, forse, potrebbe non bastare.
La strategia Usa: un nuovo accordo non è sufficiente
L’amministrazione del democratico Joe Biden ha dunque la possibilità di negoziare con l’Unione Europea un accordo definitivo; tuttavia, permangono i dubbi e lo scetticismo di chi pensa che la predisposizione di un nuovo accordo sia di per sé del tutto insufficiente. Basti pensare a cosa è accaduto ai precedenti accordi che regolavano tali flussi di dati, tutti invalidati dalle pronunce della Corte di Giustizia dell’Unione Europea.
Sembrerebbe ad oggi che l’unica soluzione possibile per ristabilire l’equilibrio perduto sia intervenire su uno o entrambi gli ordinamenti e che gli USA scendano a patti con la propria sovranità per stabilire regole forti che assicurino tutte le tutele previste dalla normativa comunitaria.
Sconforterà sapere che l’amministrazione di Biden sembrerebbe invece puntare ad un riordino delle regole vigenti.
Una soluzione è vicina?
Al netto delle critiche, la soluzione potrebbe essere vicina e i ben informati dipingono un quadro in cui i cittadini dell’Unione saranno in grado di presentare direttamente (o, in un’opzione di riserva, attraverso i loro governi nazionali) reclami a un organismo giudiziario indipendente laddove sia rilevato un illegittimo accesso alle proprie informazioni personali da parte delle agenzie di sicurezza nazionale degli Stati Uniti, recependo nell’ordinamento statunitense quella misura di tutela a favore degli interessati che sono anche contemplate nelle linee guida dell’EDPB.
Conclusioni
Nel caso Schrems II, la Corte di Giustizia ha ribadito l’importanza di assicurare che gli elevati standard di protezione dei dati garantiti in Europa non siano compromessi una volta che i dati lascino l’UE, e che le regole sul trasferimento non si riducano a meri formalismi burocratici, così come affermato dall’Avvocato Generale nelle sue conclusioni su Schrems II si dovrebbe trovare un equilibrio tra la necessità di affermare i valori fondamentali riconosciuti nell’ordinamento giuridico dell’Unione Europea da un lato e la necessità di mostrare un “ragionevole grado di pragmatismo per consentire l’interazione con altre parti del mondo” dall’altro.
Tuttavia, alla soglia dei due anni dalla storica sentenza Schrems II lo scenario resta incerto ed il braccio di ferro tra i due continenti non accenna a venire meno e richiede maggiori negoziazioni alla luce degli interessi comuni degli operatori economici di entrambe le sponde dell’Atlantico. Come peraltro emerge dalle recenti pronunce di diverse Autorità di controllo europee sull’utilizzo di Google Analitycs proprio sul tema del trasferimento dei dati negli Stati Uniti (da ultimo si veda la pronuncia del CNIL – Commission nationale de l’informatique et des libertés, che ha ribadito, così come l’Autorità austriaca la non conformità alle disposizioni di cui al capo V del GDPR dei trasferimenti dei dati personali).
La pronuncia del CNIL segue di qualche giorno quella emessa dall’autorità di controllo austriaca e sono solo alcune delle pronunce che vedremo nel prossimo periodo come conseguenza degli oltre 190 reclami presentati dall’associazione di Noyb guidata dall’attivista Maximilien Schrems proprio in relazione al trasferimento dei dati negli Stati Uniti da parte di Google.
Questa situazione di tensione ha portato anche Meta ad inserire nella propria relazione Financial Services Authority (FSA) una nota nella quale viene stigmatizzata l’incertezza normativa nella quale si trovano i titolari che trattano dati tra Europa e Stati Uniti e la conseguente difficoltà di conformità.
L’auspicio è che le due sponde dell’Atlantico trovino un’intesa che dia un assetto regolamentare certo e al tempo stesso tuteli i diritti degli interessati. In attesa, la responsabilità della compliance è interamente in capo ai titolari del trattamento e occorre, come prevede la sentenza della Corte di Giustizia, valutare adeguatamente gli impatti dei trasferimenti ed eventualmente adottare le misure supplementari idonee a garantire i rischi e le libertà degli interessati.
