USA-UE Luce verde (?). La Commissione Europea ha dato il via libera al Data Privacy Framework . É dunque arrivato il parere di adeguatezza nei confronti degli Stati Uniti ai sensi dell’articolo 45 del GDPR. Il documento (consultabile integralmente a questo link) mette nero su bianco le nuove regole per il trasferimento dati personali Ue-Usa. Il nuovo quadro normativo prometterebbe, il condizionale è d’obbligo, maggiore sicurezza per il trasferimento dati personali verso gli USA.
Data Privacy Framework
Il 10 Luglio (con entrata in vigore a partire dall’11 Luglio) la Commissione (nonostante il parere negativo della commissione LIBE e quello non troppo lusinghiero dell’EDPB) ha adottato una decisione riguardante la protezione dei dati personali nel contesto del trasferimento di dati personali tra l’Unione Europea e gli Stati Uniti. Il quadro normativo, denominato Data Privacy Framework stabilirebbe regole chiare e garanzie vincolanti per consentire un trasferimento sicuro dei dati verso gli Stati Uniti. Grazie al nuovo accordo i cittadini europei dovrebbero avere la garanzia che i propri dati personali saranno adeguatamente protetti durante il processo di trasferimento.
Tribunale per il riesame
Un aspetto fondamentale del nuovo quadro normativo è l’istituzione di un Tribunale, con sede negli Stati Uniti, per il riesame della protezione dei dati (Data Protection Review Court), che rappresenterebbe una salvaguardia per i cittadini europei in caso di controversie. La nuova istituzione avrà il compito di verificare e valutare eventuali violazioni delle nuove garanzie introdotte dall’accordo USA-UE. Nel caso in cui vengano identificate violazioni, il Tribunale potrà adottare misure correttive, compresa la cancellazione dei dati. La creazione di un Tribunale totalmente dedicato alle controversie, rappresenterebbe un passo significativo per proteggere i diritti dei cittadini europei.
Per gli USA obblighi rigorosi
I titolari e i responsabili dei trattamenti statunitensi dovranno impegnarsi a rispettare una serie di accorgimenti dettagliati in materia di Data Protection. Tra le novità più importanti introdotte dal Data Privacy Framework emergono alcuni obblighi come quello di cancellazione dei dati personali quando non sono più necessari e la garanzia della protezione dei dati quando vengono condivisi con terze parti. Inoltre, il quadro normativo prevede salvaguardie specifiche per quanto riguarda l’accesso ai dati da parte delle autorità federali, assicurando che l’accesso stesso sia limitato solo al necessario, con misure mirate alla protezione della sicurezza nazionale.
Revisioni periodiche
Il documento è ufficiale. Proprio per il tema complesso trattato sarà soggetto a revisioni periodiche per garantire l’efficacia delle misure e dei meccanismi introdotti. La Commissione, insieme alle autorità europee di protezione dei dati e alle autorità statunitensi competenti, sarà responsabile di queste revisioni. Il primo riesame si terrà entro un anno dall’entrata in vigore. L’obiettivo di questo primo gradino sarà valutare la loro efficacia pratica a distanza di un anno. Le revisioni costituiranno un elemento chiave per garantire la continuità e l’adeguatezza del quadro normativo nel tempo.
Per Noyb è una minestra riscaldata
Noyb, l’associazione fondata da Max Schrems aveva fatto già sentire la sua voce, in fase di studio del documento con una lettera del Maggio del 2022 (qui la versione integrale), in cui si leggeva:
Prendiamo atto dell’annuncio di un accordo di principio per un nuovo quadro transatlantico sulla privacy dei dati. Ci risulta che il futuro accordo “concordato in linea di principio” si basi principalmente su un accordo politico tra la Presidente della Commissione Von Der Leyen e il Presidente degli Stati Uniti Joe Biden, ma non sia il risultato di modifiche sostanziali alla legge statunitense in risposta alla sentenza della CGUE. Questo approccio sembra ripetere l’accordo “Privacy Shield” ed è molto preoccupante.
È davvero possibile arrivare ad un accordo condiviso tra UE e USA, considerando il differente approccio filosofico in relazione al trattamento dei dati? Nel documento appena approvato, inoltre, si parla di “limitato solo al necessario mirato alla protezione della sicurezza nazionale”, una considerazione che, leggendo la lettera pubblicata sul sito di Noyb, non convince affatto il suo fondatore.
Verso Schrems III?
Il nuovo quadro transatlantico sul trasferimento dei dati è in gran parte una copia del “Privacy Shield”. Lo si legge tra le pagine di Noyb, pagine che proseguono con una puntualizzazione che precisa l’opinione del suo fondatore:”
Il terzo tentativo della Commissione europea di ottenere un accordo stabile sui trasferimenti di dati tra l’UE e gli Stati Uniti tornerà probabilmente davanti alla Corte di giustizia (CGUE) nel giro di pochi mesi. Il presunto “nuovo” quadro transatlantico sulla privacy dei dati è in gran parte una copia del fallito “Privacy Shield”. Nonostante gli sforzi di pubbliche relazioni della Commissione europea, la legge statunitense o l’approccio adottato dall’UE non cambiano di molto. Il problema fondamentale del FISA 702 non è stato affrontato dagli Stati Uniti, che continuano a ritenere che solo le persone statunitensi siano degne dei diritti costituzionali.
Una considerazione che non lascia spazio a molti dubbi, finché non si supererà la FISA sez. 702, che consente una sorveglianza di massa dei cittadini non americani ai fini della difesa del paese, Schrems non abbandonerà la sua battaglia.
Schrems I
La sentenza Schrems I, emessa nel 2015, ha invalidato il cosiddetto “Safe Harbor Agreement”, un accordo tra l’UE e gli Stati Uniti che permetteva il trasferimento di dati personali dei cittadini europei verso le organizzazioni con sede negli Stati Uniti . La CGUE (Corte di Giustizia dell’unione Europea) ha ritenuto che il livello di protezione dei dati negli Stati Uniti non fosse sufficiente e ha sancito che il trasferimento di dati verso paesi terzi deve garantire un livello di protezione equivalente a quello presente all’interno dell’UE.
Schrems II
La sentenza Schrems II, emessa nel 2020, ha invalidato il “Privacy Shield“, il nuovo accordo di trasferimento dati tra UE e Stati Uniti, introdotto dopo la sentenza Schrems I. La CGUE ha argomentato che anche il Privacy Shield non offriva sufficienti garanzie di protezione dei dati personali degli individui europei e ha stabilito che le aziende e gli organismi che effettuano trasferimenti di dati devono attuare ulteriori misure di sicurezza, come Standard Contractual Clauses, per garantire la protezione dei dati personali.
Finale già scritto?
Gli Stati Uniti non sono dotati di una legge federale onnicomprensiva sulla protezione di dati personali che ne garantisca la salvaguardia a livello unitario. Considerando che, oltre al parere di NOYB, anche le passate valutazioni da parte della Commissione LIBE e dell’EDPB non sono state positive, il Data Privacy Framework sembra già partire con premesse non proprio stabili. Come andrà a finire? arriverà prima una revisione del documento o una terza puntata della saga Schrems?
