La base giuridica per i trasferimenti dei dati personali dall’Unione Europea agli Stati Uniti, che negli ultimi anni è stata a dir poco precaria, potrebbe presto trovarsi in una situazione ancora più incerta.
Secondo un’indiscrezione riportata dal New York Times, il presidente americano Trump avrebbe inviato una lettera di invito alle dimissioni ad alcuni membri del Privacy and Civil Liberties Oversight Board (PCLOB). Questa decisione sembra legata all’avvicendamento dell’amministrazione, poiché i destinatari sono tre dei cinque membri dell’autorità, tutti di nomina democratica.
Cerchiamo di comprendere quali potrebbero essere gli scenari futuri.
Indice degli argomenti
Quali conseguenze sul Data Privacy Framework
Il PCLOB, istituito nel 2001 e dotato nel 2023 di una funzione istituzionale e indipendente di supervisione, monitora gli accessi sistematici da parte delle agenzie americane di intelligence, come la NSA (il caso Snowden potrebbe ricordare qualcosa).
Queste agenzie accedono a enormi quantità di dati con il pretesto della sicurezza nazionale, scandagliandoli alla ricerca di elementi chiave o segnali di allarme.
La creazione di un organismo ad hoc come il PCLOB, unita a un procedimento di ricorso indipendente e accessibile ai cittadini europei, è stata uno dei punti di forza per l’adozione della più recente decisione di adeguatezza tra UE e USA, in vigore dal luglio 2023.
Il Data Privacy Framework del 2023 ha sostituito il Privacy Shield Framework del 2016 e il Safe Harbour del 2000, entrambi invalidati dalla Corte di Giustizia dell’Unione Europea su istanza dell’avvocato austriaco Max Schrems.
Tuttavia, il possibile depotenziamento del PCLOB potrebbe minare la stabilità di questa nuova decisione di adeguatezza, già impugnata dall’associazione NOYB, fondata dallo stesso Schrems.
Questa notizia si inserisce in un contesto di crescente criticità riguardo all’uso di strumenti come Microsoft 365 o cloud statunitensi da parte delle istituzioni europee. L’EDPS ha richiesto una rivalutazione di tali strumenti, e la stessa problematica si pone per pubbliche amministrazioni, università, scuole e persino aziende leader dell’industria europea.
Rischi per lo scambio dati e la privacy dei cittadini UE
La questione si collega alla sovranità digitale dell’Unione Europea, che non è ancora riuscita a sviluppare alternative capaci di competere con i colossi americani come Google, Amazon, Meta, Apple e Microsoft.
A questi si aggiungono oggi attori emergenti nel campo dell’intelligenza artificiale, come OpenAI. Il risultato è che i dati europei, personali e no, finiscono nelle mani di alleati esterni, ma con obiettivi potenzialmente divergenti. Nonostante gli sforzi dell’UE per promuovere strumenti made in Europe, i risultati sono stati finora limitati.
Nel frattempo, la postura statunitense si è fatta ancora più sovranista, almeno nelle intenzioni del nuovo presidente. Le preoccupazioni aumentano di fronte al rapporto sempre più stretto tra governo americano e Big Tech, evidenziato dalla partecipazione dei loro CEO a eventi ufficiali come l’inaugurazione dello scorso 20 gennaio. Lo stesso Zuckerberg sembra essersi riposizionato, lamentando che Meta è stata oggetto di sanzioni europee che sarebbero, secondo lui, quasi dei dazi mascherati da sanzioni per violazione del GDPR.
Cosa può succedere ora
Sebbene la decisione di adeguatezza non sia l’unica base giuridica prevista dal GDPR per legittimare i trasferimenti di dati verso gli USA, resta la soluzione più sicura per le organizzazioni.
La situazione attuale dei trasferimenti di dati personali tra UE e USA resta incerta, con il futuro della decisione di adeguatezza legato a fattori politici e giuridici ancora in evoluzione.
Sarà fondamentale monitorare l’evolversi della situazione legale e politica, in attesa di sviluppi che potrebbero portare a ulteriori modifiche e riposizionamenti per le organizzazioni coinvolte nei trasferimenti di dati.