l'analisi

Scambio dati EU-Usa, prudenza sul nuovo accordo: i timori di EDPB

L’EDPB accoglie con favore l’annuncio di un accordo politico di principio tra la Commissione europea e gli Stati Uniti il 25 marzo su un nuovo Trans-Atlantic Data Privacy Framework. Ma scrive di volerci vedere chiaro su molti punti. Non è la sola a mostrare cauto favore

08 Apr 2022
C
Anna Cataleta

Avvocato, Senior Partner P4I – Partners4Innovation

L
Aurelia Losavio

Legal Consultant P4I - Partners4Innovation

Si continuano a registrare passi avanti, ma con prudenza perdurante, sulla strada di una nuova fase per gli scambi di dati tra Europa e Usa, il Trans-Atlantic Data Privacy Framework, su cui le parti hanno raggiunto il 22 marzo un accordo preliminare.

Trans-Atlantic Data Privacy Framework, accordo UE-USA per “superare” il Privacy Shield: punti chiave

La posizione dell’EDPB, restano ancora le Standard Contractual Clauses

E proprio con questo approccio, di misurato e cauto favore, si segnala l’ultima novità, il 6 aprile, la posizione dell’European Data Protection Board con dichiarazione 1/2022 guardante l’annuncio del raggiungimento del suddetto accordo di principio. In particolare, il Board ha affermato la necessità che la Commissione europea, prima di adottare una eventuale decisione di adeguatezza sull’accordo, richieda il parere dell’EDPB in merito. Il Comitato ha aggiunto che l’annuncio del raggiungimento di tale intesa di principio non costituisce alcuna base giuridica per attuare simili trasferimenti, pertanto si dovranno ancora applicare le Standard Contractual Clauses.

WEBINAR
26 Maggio 2022 - 12:00
Sicurezza IT e identità digitali: come essere pronti ai nuovi trend in azienda
Dematerializzazione
Marketing

L’EDPB è in particolare interessata all’efficacia degli annunciati strumenti di ricorso e difesa per il cittadino europeo e che “la raccolta di dati per scopi di sicurezza nazionale sia limitata a ciò che è strettamente necessario e proporzionato”.

Il testo della posizione EDPB

“L’EDPB accoglie con favore l’annuncio di un accordo politico di principio tra la Commissione europea e gli Stati Uniti il 25 marzo su un nuovo Trans-Atlantic Data Privacy Framework. Questo annuncio è fatto in un momento in cui i trasferimenti dall’Area Economica Europea agli Stati Uniti affrontano sfide significative”, si legge.

“L’impegno delle massime autorità statunitensi a stabilire misure “senza precedenti” per proteggere la privacy e i dati personali degli individui dello Spazio economico europeo (individui SEE) quando i loro dati vengono trasferiti negli Stati Uniti è un primo passo positivo nella giusta direzione”.

“L’EDPB esaminerà come questo accordo politico si traduce in proposte giuridiche concrete per affrontare le preoccupazioni sollevate dalla Corte di giustizia dell’Unione europea (CJEU) al fine di fornire certezza giuridica agli individui SEE e agli esportatori di dati. In questa fase, questo annuncio non costituisce un quadro giuridico su cui gli esportatori di dati possono basare i loro trasferimenti di dati verso gli Stati Uniti”.

“Gli esportatori di dati devono quindi continuare a intraprendere le azioni necessarie per conformarsi alla giurisprudenza della CGUE, e in particolare alla sua decisione Schrems II del 16 luglio 2020. Il GDPR richiede che la Commissione chieda un parere all’EDPB prima di adottare un’eventuale nuova decisione di adeguatezza che riconosca come soddisfacente il livello di protezione dei dati garantito dalle autorità statunitensi”.

“L’EDPB è impaziente di valutare attentamente i miglioramenti che un nuovo quadro transatlantico per la privacy dei dati può apportare alla luce del diritto dell’UE, della giurisprudenza della CGUE e del. L’EDPB preparerà il suo parere quando riceverà le raccomandazioni dell’EDPB fatte su questa base dalla Commissione europea tutti i documenti di supporto”.

Tre punti chiave

  • “In particolare, l’EDPB analizzerà in dettaglio come queste riforme garantiscono che la raccolta di dati per scopi di sicurezza nazionale sia limitata a ciò che è strettamente necessario e proporzionato”.
  • “La EDPB esaminerà anche in che misura il meccanismo di ricorso indipendente annunciato rispetta il diritto degli individui SEE a un ricorso effettivo e a un processo equo. In particolare, l’EDPB esaminerà se qualsiasi nuova autorità parte di questo meccanismo ha accesso alle informazioni pertinenti, compresi i dati personali, quando esercita la sua missione e può adottare decisioni vincolanti per i servizi di intelligence”.
  • “L’EDPB valuterà anche se esiste un rimedio giudiziario contro le decisioni o l’inazione di questa autorità”.

“L’EDPB rimane impegnata a svolgere un ruolo costruttivo nel garantire un trasferimento transatlantico di dati personali a beneficio degli individui e delle organizzazioni del SEE. L’EDPB è pronta a fornire alla Commissione europea un sostegno per aiutarla a costruire, insieme agli Stati Uniti, un nuovo quadro che sia conforme alla legislazione europea sulla protezione dei dati”.

L’accordo USA-Europa e il flop dei precedenti

Ricordiamo che in data 25 marzo 2022, durante una conferenza stampa tenutasi a Bruxelles, la Presidente della Commissione europea Ursula von der Leyen e il Presidente degli Stati Uniti d’America Joe Biden hanno comunicato l’avvenuta sottoscrizione di un nuovo accordo preliminare sullo scambio dati Ue-USA denominato Trans-Atlantic Data Privacy Framework.

L’annuncio del raggiungimento di una nuova intesa è arrivato dopo oltre due anni dall’invalidazione della Decisione 2016/1250 della Commissione da parte della Corte di Giustizia dell’Unione europea tramite sentenza Schrems II. Tale Decisione sanciva l’adeguatezza, rispetto alla normativa comunitaria, dell’accordo Ue-USA Privacy Shield sul trasferimento dei dati dei cittadini dell’Unione verso gli Stati Uniti. Tuttavia, nel luglio del 2020, la CGUE ha annullato questo secondo accordo di trasferimento (il primo, il Safe Harbour, era già stato oggetto di invalidazione nel 2015 con sentenza Schrems I) poiché, a parere della Corte, gli Stati Uniti non assicuravano un livello di protezione dei dati personali sostanzialmente equivalente rispetto a quello garantito dall’Unione europea, principalmente a causa di una normativa tutt’ora vigente negli USA (in particolare, la Section 702 del Foreign Intelligence Surveillance Act (FISA), l’Executive Order (EO) 12333 e la Presidential Policy Directive 28) che legittima l’utilizzo di programmi di sorveglianza di massa aventi un impatto sui dati personali ritenuto, dalla Corte, incompatibile con i principi europei sulla data protection sanciti dal Regolamento (UE) 2016/679 (GDPR).

Le problematiche delle Standard Contractual Clauses

Pertanto, in assenza di una decisione di adeguatezza, il trasferimento dei dati personali dei cittadini Ue verso gli Stati Uniti è, allo stato, disciplinato tramite le c.d. clausole contrattuali standard (Standard Contractual Clauses o SCCs), ai sensi dell’art. 46, par. II, lettera c) GDPR e alla luce della pronuncia di validità da parte della CGUE, con sentenza Schrems II, della decisione esecutiva della Commissione 2010/87/UE[1] sulle SCCs.

Tuttavia, le clausole contrattuali standard risultano essere uno strumento particolarmente oneroso per attuare il trasferimento dei dati, poiché le loro intrinseche limitazioni[2] le rendono suscettibili di essere valutate come strumenti inidonei per la salvaguardia dei dati da parte delle Autorità di controllo. Il ricorso alle SCCs ha quindi generato delle grosse incertezze nell’ambito delle attività di scambio di dati, con conseguenze difficili da gestire per gli attori operanti nel mercato – sempre più in crescita – dei dati.

Le novità dell’accordo preliminare

Ad ogni modo, la circostanza che Unione europea e Stati Uniti siano riusciti a raggiungere un nuovo accordo – seppur di principio – sul trasferimento dei dati dopo anni di infruttuose negoziazioni, rappresenta indubbiamente un punto di svolta. Infatti, nel recentissimo comunicato stampa, la Casa Bianca ribadisce l’importanza che la nuova intesa Trans-Atlantic Data Privacy Framework avrà sul mercato dei dati, soprattutto alla luce del fatto che il flusso di informazioni che transita negli USA dall’Ue è il più consistente al mondo e rafforza delle relazioni economiche dal valore di circa 7 miliardi di dollari.

In particolare, gli Stati Uniti hanno annunciato che, tramite il nuovo accordo, si impegneranno a implementare dei meccanismi di tutela innovativi per assicurare che le attività di intelligence americane siano rispettose dei principi di necessità e di proporzionalità e siano parimenti volte al raggiungimento di ben specificati obiettivi, in un’ottica di sicurezza nazionale. Analogamente, gli USA hanno assicurato che la nuova intesa sarà idonea a garantire la privacy dei soggetti Ue i cui dati sono oggetto di trasferimento. Questi ultimi avranno, inoltre, la possibilità di accedere a un nuovo meccanismo di ricorso indipendente a due livelli per far valere i loro diritti in sede giudiziaria nel caso in cui ritengano di essere stati illecitamente bersaglio dei sistemi di intelligence americani.

Nell’annunciare il raggiungimento dell’accordo, gli Stati Uniti hanno dichiarato che il paese effettuerebbe uno sforzo senza precedenti per impegnarsi a:

  • Rafforzare la privacy e le salvaguardie delle libertà civili che governano le attività di intelligence degli Stati Uniti;
  • Stabilire un nuovo meccanismo di ricorso prevedendo un’autorità indipendente e vincolante;
  • Migliorare l’attuale supervisione rigorosa e stratificata delle attività di intelligence.

Date queste premesse, il Trans-Atlantic Data Privacy Framework rappresenterà, quindi, una base legale durevole e affidabile per lo scambio transatlantico di dati, tale da corroborare lo sviluppo di una digital economy inclusiva e competitiva e porre le basi per ulteriori cooperazioni economiche tra le due sponde dell’Atlantico.

Dal canto suo, la Commissione europea ha elencato in un factsheet i possibili benefici che deriverebbero da questo nuovo accordo di trasferimento, tra cui: un’adeguata protezione dei dati dei cittadini Ue trasferiti negli USA, alla luce di quanto previsto dalla Corte di Giustizia nella sentenza Schrems II; flussi di dati sicuri e protetti; una base giuridica durevole e affidabile; un’economia digitale competitiva, una forte cooperazione economica e flussi di dati continui a sostegno di 900 miliardi di euro annui per le attività commerciali.

Nel proprio comunicato stampa, la Commissione europea ha aggiunto che il raggiungimento dell’intesa rappresenta un’ulteriore dimostrazione della solidità dei rapporti tra Unione europea e Stati Uniti, volti al conseguimento del pieno rispetto della sicurezza e della privacy degli individui.

Lo scetticismo sull’accordo

Nonostante siano ancora sconosciuti i dettagli dell’accordo preliminare, non sono mancate alcune considerazioni scettiche in merito. Lo stesso Maximillian Schrems[3], in un articolo pubblicato sul sito noyb, ha bollato il Trans-Atlantic Data Privacy Framework come semplice accordo politico del tutto privo di una base giuridica per legittimare i trasferimenti transatlantici di dati e ha scommesso sulla sua breve durata.

Inoltre, secondo alcuni esperti privacy, non è un caso che la nuova intesa sia arrivata in concomitanza con il raggiungimento di un altro importante accordo tra Stati Uniti e Unione europea: quello sulle forniture di gas naturale liquefatto ai partner europei per far fronte alla crisi russo-ucraina.

Simili osservazioni hanno generato il timore che la nuova intesa sui trasferimenti transatlantici di dati possa in qualche modo mitigare gli elevati standard di tutela previsti dal GDPR e non garantire, di conseguenza, un’adeguata protezione dei dati personali dei cittadini Ue oggetto di trasferimento.

Non si può negare che anche le nuove parole dell’EDPB denotino una certa prudenza, come detto.

 

Conclusioni

Il Trans-Atlantic Data Privacy Framework è un accordo di principio e bisognerà al più presto tradurlo in documenti legali. Il passo successivo sarà quindi l’emanazione, da parte degli USA, di un Executive Order costituente la base legale della valutazione della Commissione europea per l’emanazione della decisione di adeguatezza.

Infine, sebbene le big tech abbiano accolto con prevedibile entusiasmo la notizia del raggiungimento della nuova intesa, al momento non resta che attendere la pubblicazione del testo ufficiale, così da poter conoscere gli sviluppi futuri di tale delicata questione ed esprimere giudizi più oculati.

Note

[1] Decisione della Commissione del 5 febbraio 2010 (Decisione SCC) relativa alle clausole contrattuali tipo per il trasferimento dei dati personali a incaricati del trattamento stabiliti in paesi terzi a norma della Direttiva 95/46/CE del Parlamento europeo e del Consiglio.

[2] Come specificato nei punti 141 e 142 della Sentenza Schrems II, l’adozione delle SCCs deve essere preceduta da un esame congiunto, da parte di esportatore e importatore dei dati, volto ad assicurare che la legislazione del paese terzo di destinazione consenta al destinatario di conformarsi alle SCCs. Se, a seguito di tale analisi preliminare, il destinatario dei dati ritiene di essere impossibilitato a conformarsi a tali clausole, il trasferimento dei dati non potrà essere effettuato e il contratto sarà risolto.

[3] Principale attore nelle cause Schrems I e II che prendono, appunto, il suo nome.

dal 14 al 17 giugno 2022
FORUM PA 2022. Cybersecurity: rafforzare la difesa della PA e del paese
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 4