È passata una settimana da quando la Commissione Europea ha adottato la decisione di adeguatezza in materia di trasferimento dati tra UE e USA. È quindi ora di tracciare un primo bilancio “a freddo”. Con il documento approvato ufficialmente e pubblicato qualche giorno fa, la Commissione riconosce adesso che gli Stati Uniti garantiscono un livello di protezione adeguato – comparabile a quello dell’Unione Europea – per i dati personali trasferiti verso imprese statunitensi.
Ricordate il caso del trasferimento dei dati operato da Google Analytics (dati raccolti sui singoli siti Web) ma in generale le questioni legali in tema di tutela della privacy che interessano chiunque utilizzi servizi che “muovono dati personali” dai nostri confini verso gli Stati Uniti così come verso qualunque altro Paese con un livello di protezione ritenuto “non adeguato”? Si tratta di tematiche tutt’altro che semplici da dirimere e che, dal titolare di una piccola impresa fino ad arrivare alle realtà di più grandi dimensioni, coinvolgono necessariamente più figure specializzate.
Trasferimento dati UE-USA approvato dalla Commissione Europea
Ebbene, l’accordo stretto tra Unione Europea e USA mira a spazzare via le ansie di tanti titolari del trattamento, soprattutto quelli di tante realtà imprenditoriali di piccole dimensioni che spesso si sono trovati ad affrontare problemi oggettivamente più grandi di loro. Sapete cos’è un TIA (Transfer Impact Assessment)? Una Valutazione dell’Impatto del Trasferimento, ovvero uno studio dovizioso e impegnativo che presuppone lo svolgimento di complesse analisi strategiche e geopolitiche, al pari degli enti specializzati a livello nazionale e internazionale, per valutare l’eventuale idoneità di un trasferimento dati verso l’estero.
L’accordo UE-USA in tema di trasferimento dei dati personali è da molti giudicato imperfetto: diversi aspetti sono rimasti sul tavolo e l’intesa ha un sapore prettamente strategico-politico. Purtuttavia, introduce diverse novità.
Le principali novità contenute nell’accordo UE-USA per il trasferimento dei dati
Il GDPR (Regolamento generale sulla protezione dei dati) prevede che “il trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale è ammesso se la Commissione ha deciso che il Paese terzo (…) in questione garantisce un livello di protezione adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche“.
Fino ad oggi, i trasferimenti di dati personali verso gli USA dovevano essere legittimati sulla base di altri presupposti previsti negli articoli 46 e seguenti dello stesso Regolamento. Dall’11 luglio 2023, con l’immediata entrata in vigore dell’accordo, i trasferimenti di dati verso il Paese a stelle e strisce ritornano possibili senza ulteriori approfondimenti perché rientrano a pieno titolo nel primo comma dell’articolo 45 GDPR.
La terza intesa dopo Safe Harbor e Privacy Shield, naufragati nel 2015 e 2020
Conosciuto come anche come Data Privacy Framework UE-USA, l’accordo appena entrato in vigore è il terzo ad essere approvato dal 2000 ad oggi. Le precedenti versioni dell’intesa volta a fornire reciproche rassicurazioni in tema di trasferimento di dati personali, erano conosciute – rispettivamente – con i nomi di Safe Harbor e Privacy Shield. A seguito di due decisioni dei giudici della Corte di giustizia dell’Unione europea, arrivate in seguito alle denunce presentate da Max Schrems (vedere più avanti), i due accordi sono stati invalidati ad ottobre 2015 e a luglio 2020.
Con la nuova piattaforma appena approvata, si vuole provare a mettere da parte i timori per l’accesso ai dati di imprese e cittadini europei da parte delle agenzie di intelligence USA introducendo il concetto di “accesso necessario e proporzionato”. L’obiettivo è bilanciare i legittimi interessi di sicurezza nazionale con il sacrosanto diritto degli interessati per la tutela dei loro dati personali.
Le aziende statunitensi interessate ad aderire alla piattaforma che consente lo scambio di dati UE-USA, devono superare una procedura di autocertificazione che porta con sé una serie di impegni. In particolare, i cittadini europei hanno diritto ad accedere ai loro dati, richiedere rettifiche, cancellare i dati errati o trattati in modo non conforme, accedere a un sistema di risoluzione delle controversie gestito da un organismo indipendente.
Tale meccanismo, come spiega la stessa Commissione, comprende un tribunale del riesame in materia di protezione dei dati (DPRC), di nuova creazione, che esaminerà e risolverà i reclami in modo indipendente, anche adottando misure correttive vincolanti.
Un riesame continuo, il primo a distanza di un anno
La piattaforma UE-USA per la protezione dei dati personali sarà oggetto di riesami periodici effettuati dalla Commissione in collaborazione con i rappresentanti delle autorità europee di protezione dei dati e delle autorità statunitensi competenti.
Il primo riesame avrà luogo entro un anno dall’entrata in vigore della decisione di adeguatezza e verificherà che tutti gli elementi pertinenti siano stati attuati nel quadro giuridico statunitense e funzionino effettivamente all’atto pratico.
Le novità dell’accordo appena entrate in vigore sono giudicate ancora insufficienti da Noyb (None of Your Business), organizzazione senza scopo di lucro fondata da Max Schrems, attivista e avvocato austriaco. L’obiettivo principale di Noyb è proteggere la privacy e i diritti digitali degli individui e promuovere una maggiore trasparenza e responsabilità da parte delle aziende e delle organizzazioni che trattano i dati personali.
Gli effetti del Data Privacy Framework UE-USA per imprese e cittadini
Il nuovo Data Privacy Framework UE-USA, ovviamente, contribuirà ad allentare la pressione sui titolari del trattamento dati, ultimamente sottoposti a una serie di adempimenti e situazioni di stress tutt’altro che facili da gestire.
D’altra parte, però, è bene non rilassarsi troppo. La gestione dei dati personali nasconde molteplici criticità ed è una tematica sfaccettata e complessa che non può e non deve essere approcciata in maniera approssimativa. Al netto di qualunque accordo UE-USA, infatti, i dati richiedono una gestione oculata, garantendo i diritti e le libertà degli interessati.
L'”effetto collaterale” dell’entrata in vigore del Data Privacy Framework UE-USA, infatti, potrebbe essere un “rilassamento” generalizzato. A valle ne scaturirebbe il mancato esercizio della tutela che invece meritano i dati di ogni singolo individuo.
Noyb: anche il nuovo accordo avrà vita breve
Sullo sfondo c’è ancora una volta Noyb che, per bocca di Schrems, minaccia una nuova battaglia legale assicurando che il testo approvato finirà nel giro di quale mese dinanzi alla Corte di giustizia dell’Unione Europea.
Noyb sostiene in primis che l’aggettivo “proporzionato” è valutato in modo significativamente diverso rispetto a quanto avviene in Europa. Così, le agenzie di intelligence sono destinate ad attingere ai dati dei soggetti europei (raccolti su server USA) senza differenze sostanziali rispetto a quanto accaduto fino ad oggi. Inoltre, gli USA non hanno rivisto il Foreign Intelligence Surveillance Act (FISA 702): i diritti costituzionali restano riconosciuti per i cittadini d’Oltreoceano ma non, ad esempio, per gli europei.
Inoltre, sempre secondo Noyb, i comuni cittadini non potranno comunque interfacciarsi con DPRC dovendo rivolgersi esclusivamente ai vari Garanti Privacy di ciascuno stato membro.
Nel frattempo la Commissione Europea ha predisposto una FAQ con le domande e risposte in materia di trasferimento dati UE-USA.