É del 28 febbraio il parere con cui lo European Data Protection Board (organismo che riunisce i garanti UE) ha accolto positivamente il nuovo accordo fra USA e UE che sarà alla base della futura decisione di adeguatezza degli Stati Uniti in relazione al trasferimento di dati personali lungo l’asse dell’Atlantico.
Il parere EDPB presenta però alcune sostanziali riserve e richieste di interventi migliorativi sul Data Privacy Framework a cui stanno lavorando l’Unione e gli USA.
Lo scenario
Facciamo subito ordine fra i termini: da un lato abbiamo l’EU-US Data Privacy Framework (DPF), ovvero l’accordo internazionale fra Unione Europea e Stati Uniti per garantire, da parte di questi, un livello di tutela adeguato rispetto al GDPR nostrano, dall’altro lato abbiamo la decisione di adeguatezza (di cui la Commissione Europea ha pubblicato una bozza lo scorso dicembre) che è un atto della Commissione Europea con cui, preso atto degli accordi in seno al Data Privacy Framework, si “certifica” ai sensi dell’art. 45 GDPR che il paese terzo oggetto della decisione (nella fattispecie gli USA) garantisce un livello di protezione adeguato rispetto al GDPR.
Una volta che la decisione di adeguatezza sarà adottata, ad essere “certificati” come adeguati rispetto agli standard GDPR non saranno però in generale tutti i titolari o responsabili del trattamento basati negli Stati Uniti (come accadrebbe se ad essere valutata adeguata rispetto al GDPR fosse una legge federale), bensì (similmente a come accadeva con i precedenti accordi Safe Harbor e Privacy Shield) solo i soggetti che aderiranno ai principi DPF (le cosiddette DPF Organisations) saranno coperte dalla decisione di adeguatezza.
Ad oggi il Data Privacy Framework è ormai “completo”, tanto che la Commissione ha stilato sulla base degli accordi raggiunti una bozza di decisione di adeguatezza.
L’EDPB è chiamata però, ai sensi dell’articolo 70 GDPR, ad esprimersi con un parere circa il livello di adeguatezza del paese terzo, prima di dar corso alla decisione definitiva, e con il proprio parere quindi l’EDPB può non solo censurare la bozza di decisione di adeguatezza promossa dalla Commissione, ma anche rimettere in discussione i contenuti dell’EU-US Data Privacy Framework, chiedendone la rivisitazione.
Il parere dell’EDPB, pur non vincolante, è comunque di estrema importanza se solo si pensa che poi le singole autorità garanti che compongono il gruppo europeo saranno chiamate a fare applicazione ed interpretazione su base quotidiana della decisione e costituiranno il filtro precedente l’eventuale valutazione giudiziale dell’accordo.
Gli aspetti positivi del Data Privacy Framework
L’EDPB innanzitutto accoglie con favore miglioramenti sostanziali rispetto al regime previgente (di cui al Safe Harbor prima ed al Privacy Shield poi, entrambi posti nel nulla dalla Corte di Giustizia UE) come l’introduzione di requisiti che riprendono i principi di necessità e proporzionalità anche nel caso di raccolta di dati da parte dell’intelligence statunitense.
In particolare, il framework è stato accompagnato da un ordine esecutivo del Presidente Biden dello scorso 7 ottobre in tema di salvaguardie nell’attività di intelligence, cui ha fatto seguito un secondo ordine esecutivo del dicembre scorso sempre in tema di intelligence (US Executive Order 14086). Tali ordini hanno posto dei limiti all’ordine esecutivo 12333 (emesso da Reagan nel 1981) aumentando le tutele nel caso di accesso ai dati da parte dei servizi di intelligence statunitensi e adottando un approccio più garantista, più in linea, anche nel lessico, con quello di cui al GDPR.
Altro parere positivo da parte dell’EDPB riguarda il nuovo meccanismo di ricorso per gli interessati dell’UE, istituito con la “Attorney General Regulation” che disciplina la cosiddetta “Data Protection Review Court”.
L’istituzione di questa “Corte” rappresenta infatti un significativo miglioramento rispetto al meccanismo (censurato dalla CGUE nella sentenza Schrems II) dell’Ombudsperson previsto nel Privacy Shield.
Va però anche evidenziato che non si tratta di una vera e propria “Corte”, ma piuttosto di un organismo interno in seno all’ufficio dell’Attorney General, che provvede a nominarne i componenti.
Inoltre, la Data Protection Review Court è accessibile solo dopo un ricorso svolto avanti ad un organo interno all’Ufficio per le Libertà Civili in seno al direttorato della National Intelligence.
Altri segnali incoraggianti, valorizzati nel parere dell’EDPB, sono quelli relativi all’evoluzione normativa nei singoli stati USA in tema di protezione dei dati personali (il parere cita le discipline introdotte in California, Colorado, Connecticut, Virginia e Utah) nonché quelli relativi agli sforzi per raggiungere una stesura condivisa a livello federale dell’”American Data Privacy and Protection Act” (ad oggi ancora una bozza, pur con appoggi bipartisan).
Le critiche al Data Privacy Framework
Chiuso l’elenco delle note obiettivamente positive del DPF e degli atti che l’hanno implementato, che costituiscono una chiara evoluzione migliorativa rispetto al quadro del Privacy Shield ed anzi intervengono proprio su quegli aspetti censurati dalla corte di Giustizia UE nella sentenza Schrems II, andando a correggere le più gravi carenze dell’assetto normativo precedente, rimane la domanda: il nuovo framework è sufficiente a garantire un livello di tutela “essenzialmente equivalente” rispetto a quello garantito dal GDPR?
Sul punto l’EDPB introduce una serie di ragionate critiche e perplessità sull’esito degli sforzi concertati dagli USA.
Allo stesso tempo esprime perplessità e chiede chiarimenti su diversi punti. Questi riguardano, in particolare, determinati diritti degli interessati, i trasferimenti successivi, la portata delle esenzioni, la raccolta temporanea di dati in blocco e il funzionamento pratico del meccanismo di ricorso.
Quanto ai diritti degli interessati l’EDPB si concentra su diritto di accesso, rettifica, cancellazione ed opposizione. L’EDPB in particolare critica la formulazione relativa al diritto di accesso nel DPF in quanto ricalca quella di cui al Privacy Shield, non allineata con il GDPR (ad esempio il framework non consente l’accesso a dati pubblicamente accessibili, sebbene il GDPR, al contrario, non limiti l’accesso in questi casi).
Quanto al diritto di opposizione, l’EDPB critica il fatto che il suo omologo statunitense (Choice principle) non precisa le modalità con cui tale diritto può essere esercitato, salvo il caso delle comunicazioni di marketing.
Riguardo ai trasferimenti successivi, il gruppo europeo dei garanti solleva una questione davvero rilevante ovvero l’assenza, nel framework USA-UE, di un principio per cui il soggetto statunitense che tratta i dati provenienti dall’UE non può trasferirli ad altri soggetti salvo questi ultimi non garantiscano un livello di protezione di livello pari a quello garantito dall’originario destinatario dei dati (inoltre va rimarcato che il trasferimento successivo può avvenire solo se questo trova giustificazione nell’informativa originariamente fornita all’interessato).
Questo principio comporta una necessaria “continuità” del livello di protezione adeguato ed equivalente a quello garantito dal GDPR, continuità che per il gruppo dei garanti è essenziale al fine di poter “promuovere” il DPF.
Quanto alla portata delle esenzioni, la disciplina del DPF prevede che l’adesione ai principi che lo compongono possa essere limitata (1) nella misura necessaria ad eseguire un ordine giudiziale, a garantire l’interesse pubblico, a consentire l’applicazione della legge, a garantire il rispetto di requisiti di sicurezza nazionale e (2) secondo la legge, un ordine giudiziale od un regolamento governativo che crea autorizzazioni esplicite (alla limitazione di applicazione del DPF), qualora la DPF Organisation interessata dimostri che la mancata applicazione dei principi DPF è limitata a quanto necessario per il rispetto degli interessi legittimi portati dalle autorizzazioni emesse.
La critica dell’EDPB riguarda il fatto che in questo modo si aprono spiragli per una sostanziale e significativa disapplicazione del framework (e quindi per applicare un livello di tutela inferiore rispetto al GDPR) senza che siano previsti idonee salvaguardie e senza che sia possibile predeterminare i casi in cui queste eccezioni si applicheranno, creando così una grave falla nell’architettura di cui al DPF.
Venendo invece alla raccolta temporanea di dati in blocco (altro elemento valorizzato negativamente dalla Corte di Giustizia nella sentenza Schrems II), l’EDPB pur riconoscendo che il nuovo assetto è migliorativo rispetto a quello del Privacy Shield, critica il fatto che l’elenco dei casi in cui è possibile una raccolta di dati in blocco è ancora ampio, non precisamente definito (nonché estensibile con provvedimento del Presidente USA).
Quanto al funzionamento pratico del meccanismo di ricorso di nuovo l’EDPB, pur riconoscendo un miglioramento rispetto al quadro del Privacy Shield, si domanda se la “Data Protection Review Court” sia un organismo in grado di soddisfare i criteri imposti dal GDPR e dalla sentenza Schrems II, ovvero consenta ad un cittadino europeo di far valere i propri diritti avanti ad un tribunale indipendente ed imparziale.
In questo senso la DPRC, pur indipendente, è comunque un organo interno al Dipartimento di Giustizia (e quindi all’esecutivo USA, ovvero il soggetto che in molti casi potrebbe essere, con le proprie attività di intelligence, la causa dell’illecita comunicazione dei dati personali di cittadini europei).
Interessante è poi la critica dell’EDPB con riguardo all’assenza di disposizioni specifiche in tema di decisioni automatizzate. La tutela offerta dall’art. 22 GDPR non è infatti replicata nel DPF. Sul punto la Commissione ha difeso la scelta statunitense affermando che i dati trasferiti in USA nella stragrande maggioranza dei casi saranno raccolti da titolari stabiliti nell’Unione e che quindi una normativa in tema di decisioni automatizzate sarebbe suscettibile di applicazione pressoché nulla.
Quel che preoccupa l’EDPB è però la continua e repentina evoluzione nel settore delle decisioni automatizzate e della profilazione, che potrebbero rendere invece assai frequente, in un futuro prossimo, un trattamento dati automatizzato da parte dei destinatari dei dati di cittadini europei stabiliti in USA.
Ulteriore critica dell’EDPB è quella relativa al mancato integrale coordinamento dell’ordine esecutivo 14086 (in tema di attività di intelligence) di modo che questo sia implementato in maniera uniforme da tutte le agenzie di intelligence statunitensi.
Infine l’EDPB critica il lessico del DPF, che nel suo mancato coordinamento con la disciplina GDPR (coordinamento che secondo l’EDPB non deve essere necessariamente formale, ma deve sicuramente essere sostanziale, consentendo di modulare la tutela alle varie figure di soggetti che trattano i dati), secondo l’EDPB il riflesso più problematico di questo mancato coordinamento riguarda la posizione dei responsabili del trattamento (situazione frequentissima nel trasferimento dati fra UE ed USA), che non sono destinatari di norme di dettaglio nel DPF e che quindi si trovano (formalmente) a dover rispettare norme che non sono loro applicabili in quanto “pensate” per un titolare del trattamento, con tutte le conseguenti difficoltà in termini applicativi.
Pizzetti: “Troppo debole lo schema Ue per trasferimento dati verso gli Usa, cruciale il parere EDPB”
Prospettive future
Le critiche dell’EDPB sono numerose ed incisive ed impongono non solo una revisione della bozza di decisione di adeguatezza, bensì la riapertura dei negoziati con gli USA (in parte già tradotti in ordini esecutivi) al fine di adeguare il Data Privacy Framework a una serie di requisiti di sostanza e che potrebbero incidere sulla sopravvivenza di questa nuova decisione di adeguatezza.
La Commissione dal canto suo sembra invece più sensibile alle istanze politiche di riavvicinamento con gli USA che alle correzioni richieste dall’EDPB, il rischio quindi è quello che, nella corsa all’approvazione della decisione di adeguatezza, si trascurino norme essenziali per consentire che il sistema del DPF garantisca ai cittadini UE quel livello equivalente di tutela richiesto dalla normativa e dalla giurisprudenza.
Non va infatti dimenticato che il sistema di cui al DPF è “debole” in partenza perché non si basa su una normativa applicabile in entrambi gli ordinamenti coinvolti, bensì di norme ad hoc destinate ai cittadini europei che si innestano, come un corpo estraneo, sulla disciplina statunitense.
Proprio per questo motivo il framework non garantisce tutti i trasferimenti dati negli USA, bensì solo quelli verso le cosiddette DPF Organisations, ovvero le compagnie USA che aderiscono al framework, con ciò aggiungendo un ulteriore elemento di debolezza al quadro, in quanto di fatto l’”adesione” al DPF è subordinata ad una semplice autocertificazione da parte delle compagnie USA, senza alcun controllo “a monte”.
Proprio per queste fragilità intrinseche sarà importante che la Commissione valuti con attenzione le proposte dell’EDPB e cerchi di implementarle nel DPF al fine di ottenere (finalmente) una decisione di adeguatezza esente da critiche sostanziali.
Sul punto quel che è forse più interessante è l’approccio lungimirante dell’EDPB, riassunto nella posizione espressa dal suo presidente, Andrea Jelinek, che ha proposto di programmare una “revisione” della decisione di adeguatezza ogni tre anni, per garantirne l’attualità.
Questo aspetto, unito al fatto che l’EDPB nel proprio parere sottolinea l’importanza di un’efficace supervisione e applicazione del DPF nel tempo, saranno in effetti cardinali nel determinare il successo o meno della nuova decisione di adeguatezza della Commissione, che rischia altrimenti di venir falcidiata (per la terza volta) in sede giudiziale.