Trasferimento dati verso gli Stati Uniti: cosa cambia con la nuova decisione di adeguatezza
Con la presente newsletter analizziamo la nuova decisione di adeguatezza sul quadro normativo UE-USA per la protezione dei dati personali, adottata dalla Commissione Europea il 10 luglio 2023, in conseguenza della quale le aziende europee potranno lecitamente trasferire dati a tutte quelle aziende statunitensi che aderiranno al nuovo “Data Privacy Framework”, il quale garantisce un livello adeguato di protezione dei diritti e delle libertà dei soggetti interessati.
1. Come si è arrivati alla decisione di adeguatezza
La Commissione Europea, ai sensi dell’art 45, paragrafo 3, del GDPR, ha il potere di stabilire, dopo le dovute verifiche, che un paese terzo garantisce “un livello di protezione adeguato”, vale a dire un livello di protezione dei dati personali equivalente al livello di protezione garantito nell’UE, con la conseguenza che le imprese europee possono trasmettere dati personali a imprese di quel paese extracomunitario senza dover pretendere dall’impresa estera l’adozione di particolari misure di sicurezza che garantiscano una tutela pari a quella prevista in ambito comunitario.
Dopo che la Corte di giustizia dell’UE ha invalidato nel 2020 la precedente decisione di adeguatezza, il c.d. “Privacy Shield”, la Commissione europea e il governo degli Stati Uniti hanno avviato discussioni finalizzate all’elaborazione un nuovo quadro normativo che superasse le criticità sollevate dalla Corte.
Il 25 marzo 2022 il Presidente USA degli Stati Uniti Joe Biden e la Presidente della Commissione europea Ursula von der Leyen hanno raggiunto un accordo politico che ha gettato le basi per l’attuale Data Privacy Framework (DPF); dopodiché, nell’ottobre 2022, il presidente Biden ha firmato un ordine esecutivo finalizzato a rafforzare la tutela della privacy nel contesto delle attività di intelligence statunitensi, il cui pervadente potere di sorveglianza e accesso incondizionato ai dati personali dei cittadini non americani costituisce da sempre un nodo centrale delle problematiche relative ai trasferimenti di dati UE-USA. Nell’ordine esecutivo viene prevista anche la creazione di un tribunale indipendente, la Data Protection Review Court (DPRC).
Grazie a questi step fondamentali, il 13 dicembre 2022 la Commissione europea ha emanato la prima bozza di decisione di adeguatezza sul DPF e, nonostante il parere negativo espresso dal Parlamento europeo, il 10 luglio 2023 ha formalmente adottato la decisione.
2. Le principali novità nel quadro UE-USA per la protezione dei dati personali
Per far fronte alle preoccupazioni espresse dalla Corte di Giustizia dell’Unione europea, il nuovo Data Privacy Network introduce nuove garanzie per i cittadini comunitari, tra cui la limitazione dell’accesso ai dati dell’UE da parte dei servizi di intelligence statunitensi a quanto necessario e proporzionato e l’istituzione di un tribunale del riesame in materia di protezione dei dati (DPRC), accessibile ai cittadini dell’UE, che ha anche il potere di ordinare la cancellazione dei dati raccolti in violazione delle nuove garanzie.
È importante sottolineare che il Data Privacy Network ha valore solo per le aziende statunitensi che decideranno di aderire allo stesso[1], impegnandosi così a rispettare una serie dettagliata di obblighi in materia di privacy. In primo luogo, avranno l’obbligo di cancellare i dati personali quando non sono più necessari per lo scopo per cui sono stati raccolti e di garantire la continuità della protezione quando i dati personali sono condivisi con terzi. Le aziende americane che aderiranno al DPN saranno dunque chiamate ad applicare il c.d. principio di “minimizzazione”, nonché quelli di privacy by default e by design, gravando sulle stesse l’onere di strutturare le proprie attività in modo tale che i dati siano trattati in sicurezza e quello di controllare che il livello di protezione non svanisca nel trasferimento di dati a terzi.
È opportuno inoltre segnalare che le garanzie messe in atto dagli Stati Uniti in materia di sicurezza nazionale si applicano anche quando i dati vengono trasferiti utilizzando come “base giuridica” del trasferimento altri strumenti rispetto alla decisione di adeguatezza, come le clausole contrattuali standard e le norme vincolanti d’impresa di cui all’artt. 46 e 47 del GDPR.
3. Risvolti pratici: i chiarimenti dell’EDPB
In seguito all’adozione della decisione di adeguatezza, l’EDPB – ossia la riunione dei “Garanti” europei – che aveva commentato la bozza di decisione nell’Opinion 5 del 28 febbraio 2023, sottolineando diversi aspetti critici[2], ha pubblicato una nota informativa per chiarire i risvolti pratici della decisione per le imprese comunitarie.
Anzitutto, dal momento che la decisione è applicabile dal 10 luglio, le aziende europee possono già da ora trasmettere in modo lecito dati personali alle aziende statunitensi che hanno aderito al DPN, senza dover ricorrere agli strumenti di cui all’art. 46 GDPR e/o chiedere all’azienda destinataria di adottare misure di sicurezza supplementari. Inoltre, nel caso in cui i dati vengano trasmessi ad un’azienda americana che non ha aderito al DPN, nella valutazione sull’affidabilità dello strumento di trasferimento scelto potrà essere tenuto in conto che, come già detto, le nuove tutele previste in ambito di sicurezza nazionale dagli Stati Uniti proteggono i cittadini comunitari a prescindere dallo strumento utilizzato per “importare” i dati.
L’EDPB chiarisce poi che tutti i cittadini europei possono adire alla Data Protection Review Court, potendo contare peraltro sul supporto del proprio Garante nazionale, in caso di necessità di aiuto e chiarimenti. Con specifico riferimento ad asserite violazioni privacy da parte di agenzie di sicurezza americane, gli interessati dovranno invece rivolgersi all’autorità di protezione nazionale (in Italia il Garante Privacy), che passerà l’istanza all’EDPB, il quale la inoltrerà alla corte statunitense competente; tramite il Garante l’interessato verrà poi informato circa il procedimento di gestione dell’istanza e lo svolgimento dello stesso.
4. Prospettive future
Sono previsti riesami periodici sul funzionamento del nuovo quadro UE-USA da parte della Commissione europea, che, almeno ogni quattro anni, svolgerà tali controlli in collaborazione con i rappresentanti delle autorità europee di protezione dei dati e delle autorità statunitensi competenti.
Il primo riesame avverrà entro un anno dall’entrata in vigore della decisione di adeguatezza, al fine di verificare che tutti gli elementi pertinenti siano stati pienamente attuati nel quadro giuridico statunitense e funzionino efficacemente nella pratica.
Nel frattempo, molte critiche sono state avanzate nei confronti della nuova decisione di adeguatezza, ritenuta troppo simile ai precedenti accordi UE-USA (il c.d. “Safe harbor” del 2000 e il c.d. “Privacy Shield” del 2016). In particolare, la NOYB – European Center for Digital Rights, associazione no profit dell’avv. Max Scherms, l’attivista che ha presentato il ricorso a cui è seguita la decisione della CGUE del 2020 con cui è stato annullato il Privacy Shield, ha già pubblicamente annunciato un nuovo ricorso. Il nodo più critico, già sottolineato dal Parlamento Europeo e dall’EDPB, è la mancata definizione precisa dei principi di necessità e proporzionalità a cui l’intelligence statunitense dovrebbe attenersi nel decidere se accedere o meno a dati dei cittadini comunitari; lasciare spazio a discrezionalità interpretative equivale a non porre alcun limite, perché sia il legislatore, sia le imprese statunitensi, hanno una concezione di privacy molto meno tutelante per il singolo individuo rispetto a quella europea.
In ogni caso, prima che eventuali ricorsi siano decisi dalla Corte di Giustizia Europea passerà senz’altro almeno un anno, se non due o più: durante questo periodo il nuovo quadro resterà valido e dunque le aziende europee potranno, con gli accorgimenti illustrati, trasmettere dati verso gli Stati Uniti.
[1] La lista delle aziende statunitense aderenti è consultabile al seguente link: https://www.dataprivacyframework.gov/s/participant-search
[2] A tal proposito si rimanda alla nostra precedente newsletter sul tema, consultabile al seguente link: https://shorturl.at/vyA06