privacy

Trasferimenti dati da Ue a Usa. Biden prova a metterci una ‘patch’: ha firmato il nuovo ordine esecutivo

di |

Biden ha firmato l’ordine esecutivo per mitigare il giudizio di non adeguatezza al trasferimento di dati personali come Paese ricevente. L’UE può prenderne atto e i titolari, con i loro DPO, aggiornare le TIA (Transfer Impact Assessment).

L’invalidazione nel luglio 2020 da parte della giustizia europea dell’intesa “Privacy Shield” ha rappresentato una sorta di mini-chiusura del rubinetto dei dati degli europei verso gli Stati Uniti. Con un impatto economico negativo su tante aziende americane, che da quella storica sentenza hanno iniziato a ricevere un po’ meno dati dall’Ue. Il riferimento è ai provvedimenti di alcuni garanti europei nei confronti dei siti web che usano Google Analytics. 

Il Garante Europeo per la Protezione dei Dati (EDPS) ha emesso un richiamo nei confronti del Parlamento Europeo perché, in un sito web per i test del COVID, ha violato la normativa GDPR inviando dati verso gli USA attraverso Google Analytics. 

In Francia tutte le pubbliche amministrazioni hanno rimosso dai propri siti Google Analyticscome indicato dal Garante Privacy francese, il CNIL, secondo il quale “sono illegali i trasferimenti dei dati” del tool di Google.

Anche il Garante per la protezione dei dati in Austria ha prescritto ai siti web austriaci di rimuovere Google Analytics “in conformità con il GDPR”, sottolinea la Datenschutzbehörde (Dsb).

In Italia il Garante ha estratto il cartellino giallo nei confronti di anche per Fastweb e ilMeteo.it, dopo Caffeina Media, per aver utilizzato Google Analytics (GA) sui rispettivi siti web. È illecito il trattamento dei dati personali degli utenti dei siti web attraverso GA, perché, scrive il Garante nei provvedimenti di ammonimento nei confronti delle tre società, comporta il trasferimento dei dati personali dei visitatori a Google con sede negli Stati Uniti e si tratta di trasferimenti effettuati verso un Paese terzo che non garantisce un livello di protezione adeguato. 

Il diritto interno degli Stati Uniti (in particolare l’Executive Order 12333 e l’art. 702 del Foreign Intelligence Surveillance Act – FISA) consente alle autorità pubbliche USA di accedere ai dati personali degli italiani e europei raccolti non solo Google Analytics, ma anche attraverso tutti i provider di servizi di comunicazione elettronica statunitensi (in primis Big Tech).

Il nuovo ordine esecutivo firmato da Biden

Ora il presidente Joe Biden, per mitigare il giudizio di non adeguata protezione al trasferimento di dati personali come Paese ricevente, ha firmato oggi il nuovo ordine esecutivo per sostituire il n.12333. Con quali novità? Le agenzie Usa, nelle loro attività di sorveglianza per motivi di sicurezza nazionale, potrebbero accedere ai dati degli europei solo se “necessario e in modo proporzionato”.

Ecco una delle novità nel dettaglio.

L’ordine esecutivo aggiunge ulteriori garanzie per le attività di intelligence degli Stati Uniti, tra cui richiedere che tali attività siano condotte solo nel perseguimento di obiettivi di sicurezza nazionale definiti; prendere in considerazione la privacy e le libertà civili di tutte le persone, indipendentemente dalla nazionalità o dal paese di residenza; e essere condotte solo quando necessario per avanzare una priorità di intelligence convalidata e solo nella misura e in modo proporzionato.

Quindi, il nuovo ordine esecutivo di Biden introduce dei limiti all’accesso dei dati che provengono dall’Ue da parte delle agenzie di intelligence. L’UE può solo prenderne atto e i titolari, con i loro DPO, aggiornare le TIA (Transfer Impact Assessment).

“Mi rendo conto”, spiega Filippo Bianchini, consulente data protection e DPO, “che non si è capito come questo ordine esecutivo non sia l’accordo transatlantico, che arriverà forse in primavera, ma l’evoluzione di quello 12333 che era stato oggetto di censura in punto di mancanza di garanzie adeguate”. 

Infatti, l’ordine esecutivo sarà solo una misura lato USA, mentre l’accordo transatlantico proseguirà comunque il cammino come bilaterale. A marzo scorso, il presidente degli Stati Uniti d’America Joe Biden e la presidente della Commissione Europea Ursula von der Leyen hanno annunciato l’accordo politico a trovare un nuovo testo comune per definire il nuovo quadro per i flussi di dati transatlantici dal titolo “Trans-Atlantic Data Privacy Framework”.

“È una speranza per le imprese e le istituzioni, già a primavera prossima, avere il nuovo Privacy Shield”, commenta Vincenzo Colarocco, alla guida del Dipartimento compliance, Media e Tecnologia Studio Previti Ass.ne Professionale. “Tuttavia”, aggiunge, “non avendo ancora il testo sottomano non è possibile esprimere giudizi, ma affinché si arrivi a una tutela concreta dovrebbero esser tassativamente previste le ipotesi in cui le autorità americane possano conoscere i dati personali”. “Resta aperta”, conclude Colarocco, “anche la possibilità di istituire un’autorità indipendente in materia di data protection o almeno che verifichi e controlli l’accesso della sicurezza nazionale degli Stati Uniti ai dati europei”.