Gli Stati Uniti d’America garantiscono un livello di protezione adeguato al trasferimento dei dati personali dei cittadini europei alle aziende d’Oltreoceano, paragonabile a quello dell’Unione Europea: è questa la conclusione della decisione di adeguatezza adottata il 10 luglio dalla Commissione europea sul Data Privacy Framework americano per il trasferimento dati UE-USA che è entrato in vigore lo stesso giorno.
Il nuovo quadro normativo americano sulla privacy è il successore del c.d. Privacy Shield, come noto venuto meno a seguito dell’emanazione della sentenza “Schrems II” da parte della Corte di Giustizia UE.
La causa di invalidità del Privacy Shield veniva ricondotta all’assenza di sufficienti garanzie legali: NOYB, pertanto, associazione capitanata da Max Schrems, ha sollevato non pochi dubbi in merito alla validità anche del nuovo Data Privacy Framework, alla luce di alcune problematiche irrisolte.
Indice degli argomenti
Come si è arrivati alla nuova decisione di adeguatezza
A seguito della sentenza, venivano avviate una serie di interlocuzioni fra la Commissione Europea e il governo USA, che portavano, ancora nel marzo 2022, la presidente Von Der Leyen e il presidente Biden ad annunciare l’avvenuto raggiungimento di aver raggiunto un accordo di principio su un nuovo quadro transatlantico sui flussi di dati, a seguito dei negoziati tra il commissario Reynders e il segretario degli Stati Uniti Raimondo.
Nell’ottobre 2022, il presidente Biden firmava, al fine di trovare una soluzione comune al flusso di dati transfrontaliero, anche un ordine esecutivo sul “Miglioramento delle garanzie per le attività di intelligence dei segnali degli Stati Uniti”, che è stato integrato da regolamenti emessi dal procuratore generale degli Stati Uniti Garland.
Occorre rilevare, tuttavia, che l’attuale Data Privacy Framework rappresenta, oltre ad un prezioso strumento di garanzia legale, anche un importante elemento politico, che tenta di venire incontro alle esigenze sin d’ora manifestate dagli operanti del settore (oltre che dalle Big Tech, le quali, a seguito del venir meno del Privacy Shield, sono andate incontro a pesanti sanzioni: Meta e Google senza dubbio le più colpite) e dalle aziende europee, molte delle quali, soprattutto se di ridotte dimensioni, confidano ancora negli strumenti e nei servizi resi dalle grandi aziende americane.
Non solo: la decisione di adeguatezza consentirà anche alle aziende e agli Enti di poter beneficiare di una “tregua” dalla ricezione di numerose richieste automatizzate di cancellazione di qualsiasi servizio che possa comportare un trasferimento di dati verso gli USA, come illustrato dall’Avv. Andrea Lisi.
Sul tema, Ursula Von Der Leyen, presidente della Commissario Europea, ha dichiarato: “Il nuovo quadro UE-USA sulla riservatezza dei dati garantirà flussi di dati sicuri per gli europei e porterà certezza giuridica alle imprese su entrambe le sponde dell’Atlantico. A seguito dell’accordo di principio che ho raggiunto con il presidente Biden l’anno scorso, gli Stati Uniti hanno attuato impegni senza precedenti per stabilire il nuovo quadro. Oggi compiamo un passo importante per dare fiducia ai cittadini che i loro dati sono al sicuro, per approfondire i nostri legami economici tra l’UE e gli Stati Uniti e allo stesso tempo per riaffermare i nostri valori condivisi. Dimostra che lavorando insieme, possiamo affrontare le questioni più complesse”.
NOYB, viceversa, si è dichiarata pronta ad avanzare un nuovo ricorso, affermando, con comunicato ufficiale, che “nonostante gli sforzi di pubbliche relazioni della Commissione Europea, la legge statunitense o l’approccio adottato dall’UE non cambiano di molto” e che la tematica del FISA 702 rimane ancora irrisolta, sostanzialmente inficiando anche la validità del nuovo accordo raggiunto con gli Stati Uniti.
Il nuovo Data Privacy Framework
Come riportato nel comunicato ufficiale reso dalla Commissione Europea, il Data Privacy Framework si pone quale scopo principale quello di accertare che siano previste, anche per i trasferimenti presso gli USA, adeguate garanzie di tutela dei dati personali, coerenti con i diritti e gli obblighi previsti dal GDPR.
Trattasi di decisione di adeguatezza, ossia di un atto con il quale la Commissione Europea afferma di aver valutato attentamente i requisiti derivanti dal quadro UE-USA sulla privacy dei dati, nonché le limitazioni e le garanzie che si applicano quando i dati personali trasferiti negli Stati Uniti sono accessibili alle autorità pubbliche statunitensi, in particolare a fini di contrasto penale e di sicurezza nazionale, e di aver ritenuto che gli Stati Uniti forniscano un livello adeguato di protezione dei dati personali trasferiti dall’UE.
Sulla scorta della decisione di adeguatezza, le società possono dunque effettuare un trasferimento extra-UE, ai sensi di quanto previsto dall’art. 45 GDPR, impegnandosi allo stesso tempo a garantire il rispetto dei principi essenziali, come la limitazione delle finalità, la minimizzazione e la conservazione dei dati, nonché obblighi specifici in materia di sicurezza dei dati e condivisione dei dati con terzi.
Le garanzie e le prescrizioni contenute nel Data Privacy Framework saranno anche applicabili a quei trasferimenti che sono effettuati sulla base di strumenti diversi dalla decisione di adeguatezza (come nella prassi avvenuto a seguito del venir meno del Privacy Shield), come le clausole contrattuali standard e le norme vincolanti d’impresa.
Il nuovo Framework, a tal fine, nel tentativo di risolvere le problematiche sollevate dalla sentenza Schrems II, introduce un nuovo piano di garanzie vincolanti, tra cui, “la limitazione dell’accesso ai dati dell’UE da parte dei servizi di intelligence statunitensi a quanto necessario e proporzionato e l’istituzione di un tribunale di riesame della protezione dei dati (DPRC), a cui i cittadini dell’UE avranno accesso”. Era, questa, infatti, una problematica di primaria importanza nella sentenza della CGUE, che i legislatori europei, in accordo con il governo USA, hanno cercato di dirimere.
Il nuovo Framework introduce anche dei miglioramenti rispetto al meccanismo di esercizio dei diritti esercitabile dall’interessato: ad esempio, si legge nel comunicato, “se il DPRC rileva che i dati sono stati raccolti in violazione delle nuove garanzie, sarà in grado di ordinare la cancellazione dei dati. Le nuove garanzie nel settore dell’accesso governativo ai dati integreranno gli obblighi che le imprese statunitensi che importano dati dall’UE dovranno sottoscrivere”.
I cittadini potranno beneficiare, inoltre, di una serie di meccanismi di risoluzione delle controversie gratuiti di risoluzione delle controversie, e di un collegio arbitrale, nel caso in cui ritengano che i loro dati siano stati gestiti dalle società statunitensi in modo errato.
Non solo: alla luce di quanto comunicato dalla Commissione Europea, i cittadini europei avranno anche “accesso a un meccanismo di ricorso indipendente e imparziale per quanto riguarda la raccolta e l’uso dei loro dati da parte delle agenzie di intelligence statunitensi, che comprende un tribunale di revisione della protezione dei dati (DPRC) di recente istituzione. La Corte indagherà e risolverà in modo indipendente i reclami, anche adottando misure correttive vincolanti”.
Alla luce del nuovo Data Privacy Framework, sarà dunque consentito alle aziende di aderirvi, impegnandosi a rispettare alcuni precisi obblighi posti a tutela dei diritti degli interessati, quali:
- l’obbligo di cancellazione dei dati personali una volta che questi non sono più necessari allo scopo per il quale sono stati raccolti;
- l’obbligo di garantire la continuità della protezione quando i dati personali sono condivisi con terzi.
La domanda di certificazione potrà essere avanzata dalle aziende statunitensi al Dipartimento del Commercio degli Stati Uniti, che si occuperà di elaborare le domande di certificazione e monitorerà, al tempo stesso, se le aziende aderenti al Framework continuano a soddisfare i requisiti di certificazione.
Il rispetto da parte delle società statunitensi dei loro obblighi ai sensi del quadro sulla privacy dei dati UE-USA sarà applicato dalla Federal Trade Commission degli Stati Uniti.
Le limitazioni poste all’accesso
Come noto, la sentenza Schrems II poneva in risalto come i diritti degli interessati fossero lesi dall’accesso indiscriminato, da parte delle agenzie di intelligence, ai dati raccolti dalle aziende.
Al fine di porre rimedio a detta criticità, elemento essenziale del Data Privacy Framework è l’ordine esecutivo sul “Rafforzamento delle garanzie per le attività di intelligence dei segnali degli Stati Uniti”, firmato dal presidente Biden il 7 ottobre 2022 a seguito di numerose interlocuzioni con l’Europa e accompagnato da regolamenti adottati dal procuratore generale. Tali strumenti, afferma la Commissione Europea, sono stati adottati per affrontare le questioni sollevate dalla Corte di giustizia nella sentenza Schrems II.
Per gli europei i cui dati personali sono trasferiti negli Stati Uniti, l’ordine esecutivo prevede:
- garanzie vincolanti che limitino l’accesso ai dati da parte delle autorità di intelligence statunitensi a quanto necessario e proporzionato per proteggere la sicurezza nazionale;
- Sorveglianza rafforzata delle attività dei servizi di intelligence statunitensi per garantire il rispetto delle limitazioni alle attività di sorveglianza;
- l’istituzione di un meccanismo di ricorso indipendente e imparziale, che include un nuovo tribunale di revisione della protezione dei dati per indagare e risolvere i reclami relativi all’accesso ai loro dati da parte delle autorità di sicurezza nazionale degli Stati Uniti.
Detti strumenti di garanzia saranno dunque essenziali per prevenire nuovi fenomeni di accesso ai dati.
Il nuovo meccanismo di difesa del Data Privacy framework
Si è anticipato come il nuovo Data Privacy Framework istituisca nuovi meccanismi di difesa a tutela dei soggetti i cui dati sono trasferiti. La tutela dei medesimi, viceversa, rischiava di risultare meramente simbolica.
Detto meccanismo di difesa si articola in più fasi, compiutamente riassunte dalla Commissione Europea.
Affinché una denuncia sia ricevibile, si precisa innanzitutto che le persone non devono dimostrare che i loro dati sono stati effettivamente raccolti dalle agenzie di intelligence statunitensi. Gli individui possono presentare un reclamo alla loro autorità nazionale per la protezione dei dati, che garantirà che lo stesso sia trasmesso correttamente e che qualsiasi ulteriore informazione relativa alla procedura, anche sull’esito, sia fornita all’individuo. “Ciò garantisce che le persone possano rivolgersi a un’autorità vicina a casa, nella propria lingua. I reclami saranno trasmessi negli Stati Uniti dal comitato europeo per la protezione dei dati”.
Le denunce saranno esaminate, poi, dal cosiddetto “Civil Liberties Protection Officer” della comunità di intelligence statunitense, soggetto cui si affida la responsabilità di garantire il rispetto della privacy e dei diritti fondamentali da parte delle agenzie di intelligence statunitensi.
Gli interessati hanno anche la possibilità di impugnare la decisione del responsabile della protezione delle libertà civili dinanzi al nuovo tribunale di revisione della protezione dei dati (DPRC), composto da membri esterni al governo degli Stati Uniti, nominati sulla base di qualifiche specifiche e con il divieto di ricevere istruzioni dal governo. “La DPRC ha il potere di indagare sulle denunce presentate da cittadini dell’UE, anche per ottenere informazioni pertinenti dalle agenzie di intelligence, e può adottare decisioni correttive vincolanti. Ad esempio, se il DPRC dovesse scoprire che i dati sono stati raccolti in violazione delle garanzie previste nell’ordine esecutivo, può ordinare la cancellazione dei dati”.
In ogni caso, la DPRC selezionerà un avvocato speciale con esperienza che garantirà che gli interessi del denunciante siano rappresentati e che la Corte sia ben informata degli aspetti fattuali e giuridici del caso. “Ciò garantirà che entrambe le parti siano rappresentate e introdurrà importanti garanzie in termini di processo equo e giusto processo”.
“Una volta che il responsabile della protezione delle libertà civili o il DPRC completeranno l’indagine”, conclude la Commissione”, il denunciante sarà informato che non è stata identificata alcuna violazione della legge statunitense o che è stata riscontrata e posta rimedio. In una fase successiva, il denunciante sarà inoltre informato quando qualsiasi informazione sulla procedura dinanzi al DPRC, come la decisione motivata della Corte, non è più soggetta a requisiti di riservatezza e può essere ottenuta.
Le osservazioni di NOYB
Come anticipato, non sono mancate gravi accuse e contestazioni da parte di Max Schrems e della sua associazione, i quali hanno affermato che la decisione di adeguatezza non sarebbe risolutiva, ma al più sarebbe espressione di un’intenzione politica atta a venire incontro alle esigenze delle grandi società statunitensi.
Secondo le ricostruzioni condotte da NOYB, infatti, gli Stati Uniti si sarebbero rifiutati di “riformare il FISA 702 per garantire a persone non statunitensi una ragionevole protezione della privacy. Su entrambe le sponde dell’Atlantico si concorda sul fatto che il FISA 702 e l’EO 12.333 violano i diritti fondamentali ai sensi del 4° Emendamento negli Stati Uniti e degli articoli 7, 8 e 47 CFR nell’Unione Europea – ma gli Stati Uniti continuano a insistere sul fatto che le persone non statunitensi non hanno diritti costituzionali negli Stati Uniti – quindi una violazione del loro diritto alla privacy non è coperta dal 4° Emendamento”.
Non solo: l’adozione in questo momento storico del nuovo Framework potrebbe essere lesiva per gli interessi dei concorrenti: “il FISA 702 dovrà essere prorogato entro la fine del 2023, dato che la legge statunitense prevede una “clausola di decadenza”. Questa sarebbe stata l’occasione perfetta per migliorare la legge statunitense, ma dato il nuovo accordo con l’UE, gli Stati Uniti avranno pochi motivi per riformare la FISA 702”.
A tal riguardo, Max Schrems ha affermato che: “Proprio come il ‘Privacy Shield’, l’ultimo accordo non si basa su cambiamenti materiali, ma su interessi politici. […] l momento ci aspettiamo che la questione torni alla Corte di giustizia entro l’inizio del prossimo anno. La Corte di giustizia potrebbe anche sospendere il nuovo accordo mentre ne esamina la sostanza. Ai fini della certezza del diritto e dello Stato di diritto, potremo così sapere se i piccoli miglioramenti apportati dalla Commissione erano sufficienti o meno. Negli ultimi 23 anni tutti gli accordi tra Unione Europea e Stati Uniti sono stati dichiarati non validi retroattivamente, rendendo illegali tutti i trasferimenti di dati effettuati in passato dalle imprese – ora sembra che si aggiungano altri due anni di questo ping-pong”.
