Trasferimento dati USA-UE, le riserve dell’EDPB sul nuovo accordo

Con la presente newsletter analizziamo il parere dell’EDPB pubblicato il 28 febbraio 2023, con il quale l’autorità europea ha comunicato le proprie osservazioni circa la bozza del nuovo accordo in materia di trasferimento di dati personali tra UE e Stati Uniti, resosi necessario in seguito alla declaratoria di illegittimità del c.d. Privacy Shield, il precedente accordo.

Lo scenario attuale

Dopo che la Corte di Giustizia dell’Unione Europea ha dichiarato illegittimo il c.d. Privacy Shield, ossia l’accordo in forza del quale i titolari del trattamento residenti nell’UE trasmettevano legittimamente dati personali negli Stati Uniti, questi ultimi sono tornati ad essere considerati un “paese terzo” ai sensi dell’art. 45 GDPR, con conseguenti difficoltà per i tantissimi titolari di trattamento europei che hanno la necessità di condividere i dati con soggetti (ad esempio, fornitori di servizio) aventi sede oltreoceano.

Le trattative finalizzate a garantire nuovamente la legittimità dei flussi di dati personali transfrontalieri, si sono concretizzate nel c.d. “Data Privacy Framework” (DPF), una nuova intesa che dovrà essere oggetto di una decisione di adeguatezza della Commissione Europea; il 13 dicembre 2022 quest’ultima ha predisposto la bozza della decisione, la quale è stata oggetto del parere obbligatorio – ma non vincolante – dell’EDPB il quale, tra i suoi diversi compiti, è chiamato, ai sensi dell’articolo 70, lettera s), del GDPR, ad esprimersi circa il livello di adeguatezza del livello di protezione del paese terzo.

L’EDPB ha quindi adottato lo scorso 28 febbraio 2023 l’Opinion 5/2023, con la quale evidenzia gli aspetti positivi e negativi del nuovo accordo, che di seguito analizziamo.

Gli aspetti positivi del Data Privacy Framework

Anzitutto, l’EDPB si esprime positivamente circa l’impianto di protezione disegnato dal nuovo accordo, che sembra sostanzialmente più tutelante del previgente Privacy Shield. L’approccio adottato risulta in generale più in linea con il GDPR e sono state incrementate le misure di tutela per le attività di trattamento: ad esempio, anche l’accesso ai dati da parte dei servizi di intelligence statunitense (che aveva contribuito in maniera determinante alla declaratoria di illegittimità del Privacy Shield) viene oggi nel DPF subordinato al rispetto dei principi di necessità e proporzionalità del trattamento.

Un aspetto di ulteriore incremento delle tutele è costituito dal meccanismo di ricorso per gli interessati residenti in territorio comunitario, poiché lo stesso viene affidato alla “Data Protection Review Court”, di nuova istituzione. Su questo punto l’EDPB ha sollevato però due rilievi: da un lato, la nuova Court è un organismo interno all’ufficio dell’Attorney General, dall’altro essa è accessibile previo esperimento di un   ricorso avanti all’Ufficio per le Libertà Civili, un organo interno alla National Intelligence Agency, con evidenti dubbi circa l’indipendenza e l’imparzialità dell’organo giurisdizionale.

Infine, per l’EDPB costituiscono segnali molto incoraggianti sia l’evoluzione normativa nei singoli stati USA in tema di protezione dei dati personali, sia i crescenti sforzi per raggiungere una stesura condivisa a livello federale dell’”American Data Privacy and Protection Act”, ad oggi non ancora adottato.

Le critiche al Data Privacy Framework

Quanto agli aspetti critici, l’EDPB sottolinea che la regolamentazione relativa al diritto di accesso del DPF ricalca quella di cui al regime previgente, che non era allineata con il GDPR, e, per quanto concerne il diritto di opposizione (il c.d. “Choice principle”), non sono precisate le modalità con cui tale diritto può essere esercitato.

Un’ulteriore critica concerne la materia della raccolta temporanea di dati in blocco: in particolare, nonostante l’assetto sia migliorativo rispetto a quello del Privacy Shield il fatto che l’elenco dei casi in cui è possibile una raccolta in blocco è ampio e non precisamente definito.

L’EDPB critica, inoltre, l’assenza di disposizioni specifiche in tema di decisioni automatizzate. Nello specifico, la tutela offerta in materia dal GPDR non è replicata nel DPF. Sul punto la Commissione ha difeso la scelta statunitense affermando che i dati trasferiti in USA nella stragrande maggioranza dei casi saranno raccolti da titolari stabiliti nell’Unione e che quindi una normativa in tema di decisioni automatizzate sarebbe suscettibile di applicazione pressoché nulla.

Prospettive future

In aggiunta, l’EDPB nel proprio parere esprime l’opportunità di programmare una “revisione” della decisione di adeguatezza ogni tre anni per garantirne l’attualità.

Le critiche dell’EDPB sono numerose e impongono probabilmente la necessità di introdurre delle modifiche nel DPF; non resta che attendere, quindi, quali passi intraprenderà la Commissione su questo tema.

Lo Studio è a disposizione per qualsiasi chiarimento