La recente approvazione da parte della Commissione Europea del “EU-US Data Privacy Framework”, accordo sul trasferimento dei dati tra l’Unione Europea e gli Stati Uniti, ha suscitato reazioni contrastanti e sollevato quesiti sulla sua autentica validità e capacità di garantire la protezione dei dati personali dei cittadini europei.
Tutte le critiche al Data Privacy Framework
Ricordiamo che secondo il comunicato stampa della Commissione europea, la decisione stabilisce che gli Stati Uniti garantiscono un livello di protezione adeguato – paragonabile a quello dell’Unione europea – per i dati personali trasferiti dall’UE alle società statunitensi nell’ambito del nuovo quadro normativo”.
Tutto questo nonostante l’apparato di sorveglianza anti-terrorismo che gli Usa hanno messo in campo negli ultimi venti anni, motivo che ha portato alla bocciatura del precedente accordo (Privacy Shield). tramite ricorso alla Corte di giustizia Ue (CGUE) da parte di Max Schrems e la sua associazione Nyob.
Nel corso della fase che ha condotto all’approvazione definitiva del Data Privacy Framework, 24 sono gli Stati membri dell’UE che hanno votato a favore, mentre 3 si sono astenuti, manifestando le loro perplessità e i loro dubbi fino all’ultimo istante.
Cosa accadrà ora? Per rispondere a questa domanda è necessario fare un passo indietro e ricordare che il Parlamento Europeo appena due mesi fa, a maggio, aveva giudicato le misure statunitensi insufficienti a tutelare i dati dei cittadini europei, invitando la Commissione Europea a riaprire i negoziati.
EDPB – i regolatori europei della privacy – ha pure osservato che occorre monitorare attentamente il funzionamento pratico del meccanismo di ricorso e l’interpretazione dei principi di necessità e proporzionalità.
A febbraio, il Comitato europeo per la protezione dei dati, che riunisce tutte le autorità di protezione dei dati dell’UE, ha evidenziato diversi punti da migliorare, in particolare per quanto riguarda i diritti degli interessati, i trasferimenti successivi di dati e la raccolta temporanea di dati in massa.
In particolare, il concetto di accesso “proporzionato” ai dati potrebbe non essere in linea con la Carta dei diritti fondamentali dell’UE, in quanto sarà la giurisprudenza statunitense a definire il termine.
Il meccanismo di ricorso è un altro aspetto controverso. Oltre al responsabile della protezione delle libertà civili, esso comprende un tribunale per la revisione della protezione dei dati, che tuttavia non è del tutto indipendente in quanto fa capo al ramo esecutivo degli Stati Uniti.
Critiche a maggio anche dal Parlamento europeo.
Max Schrems ha appena dichiarato di avere pronto un nuovo ricorso alla CGUE, perché quest’ultima decisione di adeguatezza è uguale alle precedenti, nella sostanza.
A tal proposito infatti, a poche ore dall’annuncio da parte della Commissione, NOYB, l’organizzazione fondata dall’attivista Max Schrems, ha annunciato l’intenzione di presentare ricorso, mettendo in discussione la validità e la conformità dell’accordo e preannunciando di fatto una Schrems III (due le bocciature che ci sono state di altrettanti accordi Usa-Eu, sempre della Corte di giustizia ue e sempre su ricorso di Schrems).
“Ci aspettiamo che il nuovo sistema sia utilizzato dalle prime aziende nei prossimi mesi, il che aprirà la strada a un ricorso da parte di qualcuno i cui dati vengono trasferiti in base al nuovo strumento. Non è improbabile che una contestazione possa arrivare alla CGUE entro la fine del 2023 o l’inizio del 2024. La CGUE avrebbe la possibilità di sospendere il ‘quadro’ per il periodo della procedura. Una decisione finale della CGUE sarebbe probabile entro il 2024 o il 2025. Indipendentemente dal successo di tale ricorso, questo porterà chiarezza sul ‘Quadro transatlantico sulla privacy dei dati’ entro circa due anni”, ha affermato.
Secondo Nyob “La Commissione europea mostra scarsa attenzione per lo stato di diritto e la privacy dei cittadini. Questo terzo tentativo di approvare in gran parte la stessa decisione illegittima solleva anche interrogativi sul ruolo più ampio della Commissione europea come custode dei trattati dell’UE”. “Invece di sostenere lo “Stato di diritto”, la Commissione si limita ad approvare più volte una decisione non valida, nonostante le chiare sentenze della CGUE. Nonostante la grande indignazione suscitata dalle rivelazioni di Snowden nell’UE e i ripetuti inviti del Parlamento europeo ad agire, la Commissione sembra dare la priorità alle relazioni diplomatiche con gli Stati Uniti e alle pressioni commerciali su entrambe le sponde dell’Atlantico rispetto ai diritti dei cittadini europei e ai requisiti del diritto dell’UE”.
Rischio di vita breve per il data framework dopo decisione di adeguatezza
Tutto ciò, inevitabilmente, solleva grossi dubbi riguardo alla consistenza e alla lunga durata di un accordo che è stato gestito in modo affrettato dalla Commissione e che potrebbe quindi essere impugnato e nuovamente invalidato dalla Corte di Giustizia.
Gli umori dietro a questa nuova decisione sono quindi inevitabilmente contrastati: da un lato le aziende, e in particolar modo le Big Tech – caso strano Meta ha appena lanciato negli USA il suo nuovo social (Treads), concorrente di Twitter che ha registrato più di 100 milioni di utenti in pochissimo tempo – non possono che gioire per questa decisione. Meta aveva dichiarato di valutare l’uscita dall’Europa, a causa dell’impasse sullo scambio dati.
D’altro canto, almeno dalle premesse, sembra che il nuovo Framework avrà vita breve e che quindi si tornerà, ancora una volta, ai blocchi di partenza.
