In data 13 dicembre 2022 la Commissione UE ha reso pubblico un documento intitolato “Adequacy decision for the EU-US Data Privacy Framework”.
In realtà il documento contiene sostanzialmente un framework da sottoporre all’esame dell’EDPB per averne il previsto parere e procedere poi alla redazione di una vera e propria bozza di risoluzione finalizzata a riconoscere il valore dell’executive order firmato da Biden il 7 ottobre 2022 per modificare l’ordinamento USA, assicurando le garanzie necessarie per superare il vuoto regolatorio nelle relazioni tra USA e UE che oggi caratterizza i trasferimenti di dati personali. Vuoto che è stato aperto, come ben sappiamo, dalla decisione 2016/1250 del 2020 con la quale la Corte di Giustizia UE ha annullato il Privacy Shield.
Privacy Shield invalidato: a che punto è lo scontro Usa-Europa sul Gdpr
Come si ricorderà, l’Executive order è stato adottato anche per dare un seguito alla dichiarazione congiunta di Biden e della von der Leyen fatta a novembre 2022 a Bruxelles, con la quale si annunciava appunto l’avvenuto accordo per trovare una soluzione positiva e concordata alla regolazione dei trattamenti di dati trasferiti dalla UE agli USA dopo la decisione della Corte di giustizia sul Privacy Shield.
Il parere di EDPB e EDPS sulle clausole contrattuali
La crisi nelle relazioni economiche e commerciali aperta dalla Corte di Giustizia aveva già trovato una prima risposta in due pronunce dell’EDPB e dell’EDPS circa le corrette modalità di attuazione delle clausole contrattuali e degli impegni reciproci da assumere tra i soggetti che operano il trasferimento di dati da UE a USA a seconda che essi siano soggetti trasferenti o riceventi. Merita ricordare che i documenti adottati e le istruzioni/consigli dati da EDPB e EDPS si basavano sull’obbligo di autovalutazione da parte dei due soggetti dei rischi che il trasferimento poteva comportare e delle misure adottate per evitarli: in sostanza mentre si affermava la sostanziale applicabilità delle clausole contrattuali standard si affermava anche l’obbligo di una sorta di autocertificazione da parte dei soggetti coinvolti nei trasferimenti in ordine alle misure adottate per evitare rischi che potessero, verificandosi, rendere illeciti i trasferimenti stessi.
In sostanza tanto EDPB quanto EDPS, proprio per scongiurare il blocco totale di ogni trasferimento, avevano riconosciuto l’applicabilità delle clausole contrattuali e affermato la possibilità per i soggetti coinvolti nei trasferimenti di dichiarare essi stessi, reciprocamente garantendosi gli uni con gli altri, di aver adottato ogni misura adeguata a garantire che i trasferimenti potessero avvenire senza rischi prevedibili per gli interessati e comunque in presenza di misure adeguate a impedire il verificarsi di tali rischi.
I rischi del trasferimento dati Ue-Usa per gli operatori coinvolti
Malgrado le pronunce di EDPB e EDPS, tuttavia, i trasferimenti di dati da UE a USA sono stati in questi anni resi estremamente rischiosi per gli operatori coinvolti. La soluzione indicata, infatti, ha mantenuto sempre molto elevato il rischio di dover rispondere agli interessati delle violazioni che potessero verificarsi e dei conseguenti danni.
Per questo l’annuncio dato a suo tempo da Biden e dalla von der Leyen fu accolto con grande interesse dagli operatori e dalle Autorità di garanzia: interesse che andò aumentando man mano che il tempo passava senza che fosse reso noto con chiarezza né in cosa consisteva l’accordo né quale fosse il suo contenuto.
L’Executive Order di Biden
Per questo la promulgazione da parte del Presidente Biden dell’Executive Order del 7 ottobre 2022 ha suscitato subito molto interesse, accresciuto dalla constatazione che il nuovo documento poteva agevolare un nuovo riconoscimento di adequacy da parte della UE perché prevedeva e prevede la creazione, presso il Dipartimento di Giustizia, di una nuova Corte di giustizia alla quale possano presentare ricorso gli interessati che ritengano che i loro dati siano stati illegittimamente trasferiti dalla UE agli USA o comunque trattati in violazione del GDPR, superando così la più rilevante obiezione al contenuto del Privacy Shield: quella, appunto, di non dare garanzie adeguate sulla ricorribilità a un giudice competente contro trattamenti illegittimi operati in territorio USA.
Scorza: “Executive order di Biden, ecco i punti critici, quelli positivi e quelli da chiarire”
A questo va aggiunto che il testo dell’Executive Order contiene anche richiami espliciti alla impostazione generale del GDPR affermando che anche le agenzie di Intelligence in tanto possono trattare i dati in quanto i trattamenti siano essenziali per la sicurezza nazionale e sempre nel rispetto del principio di minimizzazione dei trattamenti. Due punti fermi che costituiscono di per sé garanzie per gli interessati che spetta agli USA assicurare.
A vigilare sul rispetto di tali obblighi, come di tutte le regole vigenti negli USA e quelle affermate nel nuovo Executive Order, il provvedimento prevede anche un notevole ampliamento e rafforzamento dei poteri di vigilanza e controllo della FTC (Federal Trade Commission), tradizionalmente competente negli USA anche rispetto a trattamenti dei dati e alla loro conformità con le leggi americane che disciplinano tali trattamenti.
In sostanza dunque l’Executive Order, pur non superando ogni criticità della normativa USA, come Guido Scorza segnalò subito sul sito del Garante, conteneva e contiene molti elementi positivi che vanno nel senso di consentire di pensare che possa esservi spazio per ulteriori accordi e comunque per una nuova dichiarazione di adeguatezza da parte della UE che consenta di legittimare il trasferimento di dati da UE a USA.
Resta fermo che l’Executive Order in questione non impone affatto il pieno rispetto del GDPR, limitandosi a recepirne alcuni principi e affidando per il resto alla legislazione USA e alla FTC il compito di completare il quadro normativo complessivo relativo alla sua applicatone sul territorio americano.
Più netto il salto in avanti da esso compiuto sul piano della previsione di un giudice, la nuova Corte indipendente istituita presso il Dipartimento di Giustizia, e le garanzie assicurate circa la indipendenza dei membri che ne fanno parte. Anche in questo caso, poi, sono aumentati i poteri della FTC per garantire che l’indipendenza dei giudici e le procedure di nomina e di scelta assicurino effettivamente la loro piena indipendenza.
I rischi di un nuovo annullamento da parte della Corte di Giustizia
Dunque, malgrado le significative critiche sollevate in UE circa il contenuto dell’Executive Order e dei suoi effetti non vi è dubbio che il provvedimento di Biden ha contenuti che possono giustificare e consentire alla UE di riaprire il tema del rapporto tra GDPR e legislazione USA anche al fine di giungere all’adozione di una nuova dichiarazione di adeguatezza.
Va detto peraltro che vi è piena consapevolezza, da ambo le parti, che un eventuale nuovo giudizio di annullamento da parte della Corte di Giustizia di una nuova dichiarazione di adeguatezza adottata dalla UE, magari a seguito di un nuovo, già annunciato, ricorso di Schrems, potrebbe determinare il sorgere di una situazione estremamente delicata nei rapporti tra UE e USA in questa materia e, più in generale, una crisi di grandi proporzioni nella stessa governance globale della società digitale.
Inoltre, resta indiscutibile che l’Executive Order, non essendo unna legge, può sempre essere modificato da un nuovo Executive Order successivo, magari emanato da un nuovo Presidente USA. Aspetto, questo, che rende ancora più complessa e fragile la situazione complessiva.
Sentenza Schrems è una vittoria per la sovranità digitale degli europei: ecco perché
Gli obiettivi del documento “Adequacy decision for the EU-US Data Privacy Framework”
È in questo quadro, dunque, che va valutato il documento relativo alla “Adequacy decision for the EU-US Data Privacy Framework” qui in esame.
Come già si è detto il documento in questione non costituisce affatto il testo di un nuovo accordo tra Commissione e Governo USA: esso è soltanto lo schema, predisposto dalla Commissione, di una valutazione della situazione attuale dei rapporti tra ordinamento UE e USA. In questo quadro si presenta ed è piuttosto una sorta di dichiarazione quadro sulla quale fondare in futuro una nuova decisione UE di adeguatezza del sistema USA al fine di consentire il trasferimento dei dati.
In questo senso lo scopo del documento presentato dalla Commissione è quello di ottenere innanzitutto il parere dello EDPB ai fini dell’art.70 paragrafo 1 lettera s) del GDPR. Sulla base di tale parere la Commissione potrà poi decidere il testo definitivo di uno schema da trasmettere anche alle Autorità nazionali di tutela dei dati personali che, a loro volta, potranno, se lo riterranno opportuno, esprimere un parere.
Infine, espletate queste fasi, la Commissione potrà procedere, se lo riterrà opportuno, ad adottare una nuova dichiarazione di adeguatezza ai sensi dell’art. 45 e la lunga vicenda apertasi con l’annullamento del Privacy Schield potrà considerarsi chiusa.
L’importante il parere EDPB
In questo senso vi è chi pensa che se il parere potrà pervenire alla Commissione entro marzo e sarà sostanzialmente favorevole o richiederà modifiche marginali, allora anche la eventuale dichiarazione di adeguatezza potrà essere adottata entro giugno: il che certamente costituirebbe un giro di boa molto importante proprio anche rispetto alla sicurezza della società digitale a livello globale.
Ovviamente è difficile allo stato fare previsioni attendibili su quale potrà essere la posizione dello EDPB.
Lascia perplessi il fatto che nello schema in questione, a parte la eccessivamente e inutilmente lunga ricostruzione della vicenda, sembra restare ferma la remissione ai titolari dei trattamenti della responsabilità di autocertificare le misure adottate, anche se si assume, in coerenza con l’Executive Order, che la FTC possa intervenire più incisivamente sulla verifica di tali autocertificazioni. Inoltre lo schema della Commissione, come anche l’Executive Order di Biden, non contiene nessun vincolo di carattere tecnico in ordine alle misure da adottare dai titolari dei trasferimenti per assicurare garanzie adeguate: il che, pur spiegabile per la difficoltà per la UE di integrare di fatto l’Executive Order di Biden, potrebbe giustificare un parere negativo da parte dello EDPB.
È innegabile infatti che, pur restando vero che lo stesso EDPB aveva rimesso alla autovalutazione dei titolari e agli impegni contrattuali tra loro la tutela della legittimità dei trattamenti, lo schema attuale della Commissione fa del contenuto di quel provvedimento, adottato allora chiaramente per dare una risposta “emergenziale” al problema della trasferibilità dei dati, un regime stabile nel tempo. Fondare sulla autovalutazione da parte dei titolari delle garanzie da adottare ogni tutela dei trasferimenti laddove le norme in vigore non contengano vincoli adeguati e soprattutto sono basate su un Executive Order sempre modificabile da successivi ordini presidenziali senza alcuna tutela di legge, può apparire fin da ora come una soluzione debole, troppo debole per reggere con sicurezza al sindacato della Corte.
Del resto di fatto Schrems già ha anticipato questa possibile valutazione annunciando, non a caso, il suo ricorso ove la dichiarazione di adeguatezza si fondasse sulle indicazioni qui richiamate.
Conclusioni
In sostanza e per concludere: l’Atto adottato dalla Commissione e pubblicato sulla G.U. della UE del 13 dicembre 2022 non sembra ancora sufficiente a ottenere un sicuro parere favorevole da parte dello EDPB e delle Autorità di garanzia nazionali. Inoltre, e soprattutto, esso delinea uno schema che, se adottato come base di una nuova dichiarazione di adeguatezza, potrebbe rendere assai concreta la possibilità di un nuovo giudizio negativo da parte della Corte di giustizia.
Per questo è bene sperare che l’EDPB, con la sua consueta pignoleria e serietà, possa anche in questo caso dare davvero una mano alla Commissione per evitare errori che avrebbero conseguenze molto negative. È importante che l’EDPB, magari insieme all’EDPS, aiutino la Commissione a definire una strada più solida, pur nel quadro necessitato dello Executive Order di Biden e dei limiti che esso comporta per i suoi effetti nell’ordinamento USA, per chiudere davvero e definitivamente questa vicenda.
Vicenda dalla quale emerge con forza che davvero nell’epoca digitale la tutela dei dati personali, così come la sicurezza dei loro trattamenti, costituiscono elementi essenziali di una adeguata Governance dell’ecosistema globale, sulle quali non può esservi incertezza o superficiale tolleranza.
