Rubrica #Elex- Novità dal diritto dei media, è la rubrica sui temi del diritto applicato al digitale, curata dallo studio E-lex di Roma per Key4biz. Per consultare tutti gli articoli clicca qui.
Trasferimenti di dati UE-US: dove eravamo rimasti?
È stato finalmente varato dalla Commissione europea il Data Privacy Framework UE-USA, che dovrebbe metter fine alla travagliata vicenda del trasferimento dei dati personali tra Europa e Stati Uniti.
Il tutto scaturisce, oramai quasi un decennio fa, dalle rivelazioni di Edward Snowden, dalle quali è emerso che i servizi di intelligence americana, apparentemente per finalità antiterrorismo, registravano in maniera indiscriminata i dati dei cittadini europei, avendo accesso alle informazioni raccolte dai fornitori di servizi di comunicazione, tra cui Google, Apple e Facebook.
Nel 2015, la Corte di Giustizia, a seguito di tali rivelazioni, avevano invalidato gli accordi (Safe Harbor) che legittimavano il trasferimento dei dati personali tra Europa e Stati Uniti, costringendole a negoziare frettolosamente nuovi accordi.
Anche queste seconde intese, che avevano dato vita al Privacy Shield, lo “scudo” per la protezione dei dati, sono state nuovamente invalidate nel 2020 dai giudici europei, che hanno concluso che gli Stati Uniti continuassero a non offrire un livello di protezione, nel trattamento dei dati, equivalente a quello europeo. L’accesso indiscriminato, da parte delle autorità pubbliche americane, ai dati sarebbe in contrasto con gli articoli 7 e 8 della Carta di Lisbona, che includono, appunto, il rispetto della vita privata e la protezione dei dati personali tra i diritti fondamentali dell’UE.
Si è così aperto un “terzo tempo” sugli accordi di trasferimento trasfrontaliero: i nuovi negoziati tra Commissione europea e Dipartimento del commercio americano erano ripartiti ed avevano avuto un’accelerazione significativa con l’Executive Order (on Enhancing Safeguards for United States Signals Intelligence Activities) adottato dal Presidente degli Stati Uniti Biden il 7 ottobre scorso.
Cos’è la decisione di adeguatezza?
La Commissione europea ha finalmente dato il via libera alla decisione di adeguatezza, che ricordiamo essere uno strumento previsto dal GDPR per trasferire dati a Paesi terzi che, secondo la Commissione stessa, offrono un livello di protezione dei dati personali paragonabile a quello U.E., anche se non identico (è infatti sufficiente “l’equivalenza essenziale”).
La decisione di adeguatezza copre i trasferimenti di dati da qualsiasi entità, pubblica o privata, nel SEE (Spazio Economico Europeo) a società statunitensi che partecipano al quadro UE-USA sulla privacy dei dati; questo risultato deriva sia da una equivalente protezione applicabile ai dati personali, sia per i meccanismi di controllo disponibili. A tale riguardo, è bene puntualizzare l’esistenza di un elenco di elementi necessari per l’adeguatezza redatto dalle Autorità Europee.
Le società per certificare la loro partecipazione al quadro UE-USA devono impegnarsi a mantenere alcuni obblighi in materia di data protection quali, ad esempio, la limitazione delle finalità, la minimizzazione dei dati e la conservazione dei dati, nonché obblighi specifici relativi alla sicurezza dei dati e alla condivisione dei dati con terze parti. Il Dipartimento del Commercio degli Stati Uniti si occuperà della certificazione e del vigilare sul mantenimento dei requisiti.
Un aspetto molto importante è quello che riguarda le misure vincolanti imposte all’intelligence statunitense, che accedere ai dati solo se è necessario e in modo proporzionato e adeguato. Un’altra novità molto significativa, considerando che una delle censure della Corte di Giustizia aveva interessato questo aspetto, è l’ istituzione di un meccanismo di ricorso indipendente e imparziale per gli eventuali reclami dei cittadini dell’Unione Europea per la raccolta dei loro dati a fini di sicurezza nazionale.
I cittadini europei potranno infatti presentare un reclamo alla propria Autorità nazionale per la protezione dei dati (ad esempio, i cittadini italiani al Garante privacy), nella loro lingua, in modo da facilitare il procedimento assicurandosi la corretta trasmissione del reclamo e il recepimento da parte dell’interessato di ogni ulteriore informazione sulla procedura, esito compreso. I reclami saranno trasmessi agli Stati Uniti dal Comitato europeo per la protezione dei dati. Inoltre, i soggetti interessati non dovranno dimostrare che i loro dati sono stati effettivamente raccolti dalle agenzie di intelligence statunitensi per far sì che la loro denuncia risulti ammissibile.
Le denunce saranno esaminate dal Civil Liberties Protection Officer statunitense, che garantirà il rispetto della privacy e dei diritti fondamentali da parte delle agenzie di intelligence statunitensi. I cittadini europei potranno fare ricorso contro la decisione del Responsabile della Protezione delle libertà civili dinanzi al tribunale per il riesame della protezione dei dati (DPRC) di nuova creazione. I membri della Corte sono soggetti esterni al governo degli Stati Uniti, e sono nominati sulla base di specifiche qualifiche, possono essere licenziati solo per giusta causa (come una condanna penale, o essere ritenuti mentalmente o fisicamente inadatti a svolgere i loro compiti) e non possono avere istruzioni del governo. La DPRC ha il potere di indagare sulle denunce di individui dell’UE, anche per ottenere informazioni pertinenti dalle agenzie di intelligence, e può prendere decisioni correttive vincolanti. Ad esempio, se il DPRC rileva che i dati sono raccolti in violazione delle garanzie previste nell’ordine esecutivo, può ordinare la cancellazione di tali dati.
Alla fine dell’indagine del “Civil Liberties Protection Officer” o del DPRC, il denunciante sarà informato che non è stata identificata alcuna violazione della legge statunitense o che è stata rilevata una violazione e vi è stato posto rimedio. In seguito, il denunciante sarà anche informato quando le informazioni riservate sottratte al suo accesso non siano più soggette a requisiti di riservatezza e possano essere ottenute dallo stesso interessato.
La decisione di adeguatezza sarà costantemente monitorata e avrà il primo riesame entro un anno per verificare la correttezza del sistema nel suo funzionamento. Successivamente, e in base all’esito di tale primo riesame, la Commissione deciderà, in consultazione con gli Stati membri dell’UE e le Autorità per la protezione dei dati, sulla periodicità dei futuri riesami, che avranno luogo almeno ogni quattro anni. Le decisioni di adeguatezza possono essere adattate o ritirate se incidano sul livello di protezione nel paese terzo.
Adesso cosa accade?
Innanzi tutto, non occorrerà più ricorrere a standard contractual clauses o binding corporate rules (dove applicabili) per trasferire i dati personali tra Stati Uniti ed Europa: una soluzione invocata da tempo e da tanti e che dovrebbe apportare significativi vantaggi all’economia del vecchio continente.
Per quanto riguarda i servizi utilizzati da molte PA e PMI, la decisione di adeguatezza legittima le offerte di fornitori statunitensi, come, ad esempio, Google Meet, Microsoft Teams e, soprattutto, Google Analytics e Google Font, nell’occhio del ciclone dopo le migliaia di diffide inviate da MonitoraPA.
Il futuro, però, potrebbe essere incerto: NOYB, l’associazione di attivisti per la tutela dei dati personali, ha già annunciato che ricorrerà alla Corte di Giustizia. Ci attendono nuovi sequel in questa saga infinita?
