Trasferimento dati negli USA: la Commissione europea pubblica una bozza di decisione. Inizia l'iter per l'approvazione del Privacy Shield 2.0

La Commissione europea ha reso pubblica una bozza di decisione

La commissione Europea ha annunciato una bozza di decisione sull'adeguatezza degli Stati Uniti. Un passaggio fondamentale che apre, nei fatti, la strada per un nuovo accordo sul trasferimento dati USA-UE. In adozione così, probabilmente, nel corso del 2023.

Di fatto è un passaggio necessario, il primo mattone sul quale dovrà appoggiare necessariamente il Privacy Shield 2.0. D'altronde l'incertezza giuridica conseguente alla dichiarazione di illegittimità del Privacy Shield ha creato notevoli problemi, dei quali l'affaire Google Analytics è solo la punta dell'iceberg.

Il problema principe che andrà risolto, sarà quello di armonizzare, trovare un punto di equilibrio, tra i diritti alla privacy e alla protezione dei dati che il GDPR riconosce ai cittadini UE e i poteri di sorveglianza degli Stati Uniti. E non sarà affatto facile, a giudicare dai precedenti. Gli ultimi due accordi infatti sono stati fatti a pezzi da sentenze nette e inequivocabili della Corte di Giustizia UE.

Il commissario per la Giustizia dell'UE, Didier Reynders ha dichiarato che:

La bozza di decisione pubblicata oggi è il risultato di più di un anno di intensi negoziati con gli Stati Uniti che ho condotto col mio omologo Raimondo. Negli ultimi mesi abbiamo valutato il quadro giuridico statunitense in materia di protezione dei dati personali. Ora siamo fiduciosi di passare alla fase successiva, ovvero la procedura di adozione (di un accordo). La nostra analisi ha dimostrato come negli USA siano adesso in atto solide misure di protezione che consentono un trasferimento dati personali sicuro. Il futuro quadro legale contribuirà a proteggere la privacy dei cittadini, fornendo al contempo la certezza del diritto di cui le imprese hanno bisogno. Siamo ora in attesa dei feedback dell'EDPB, degli esperti degli Stati Membri e del Parlamento Europeo. 

La bozza di decisione è consultabile qui

Che cosa è una decisione di adeguatezza?

E' utile chiarire, forse, alcuni aspetti. A partire dal valore di una decisione di adeguatezza. Questo è uno strumento previsto dal GDPR per trasferire dati personali di cittadini UE a paesi terzi che, secondo la valutazione della Commissione, offrono un livello di protezione dei dati paragonabile a quello offerto dal GDPR.

Se uno Stato viene dichiarato adeguato, appunto a seguito di una decisione di adeguatezza, diviene legittimo trasferire dati verso quello Stato senza necessità di ulteriori condizioni o autorizzazioni. Una volta adottata una decisione di adegutezza, le entità europee potranno trasferire dati personali alle società USA senza dover predisporre ulteriori garanzie di protezione dati. Di contro, le aziende statunitensi dovranno certificare la loro adozione al nuovo accordo di trasferimento dati impegnandosi a rispettare una serie di obblighi equivalenti a quelli previsti dal GDPR. Tra questi la limitazione della finalità del trattamento dati, della conservazione dei dati e della condivisione con terze parti, ma anche precisi obblighi in materia di sicurezza informatica.

Da quali criteri dipende la decisione di adeguatezza?

Lo spiega la Commissione europea, in questo "Questions and answers"

A partire dal fatto che la decisione di adeguatezza non richiede un sistema di protezione dei dati identico a quello dell'UE, ma che gli standard di data prtection siano "essenzialmente equivalenti". Vanno tenuti in considerazione, quindi tre macro-aree:

• il quadro completo degli obblighi di protezione dei dati;
• i meccanismi di controllo previsiti
• le modalità di ricorso disponibili

Per dettagliare questa "adeguatezza" le autorità garanti europee hanno elaborato una lista di elementi da tenere in considerazione.

L'Ordine Esecutivo del Presidente Biden

Un elemento essenziale nella valutazione del quadro giuridico di protezione dei dati statunitense è l'Executive Order firmato dal Presidente Biden il 7 ottobre 2022. Questa ordinanza ha dato attuazione agli impegni che gli Stati Uniti hanno assunto nell'accordo di principio che, a Marzo, fu annunciato dalla Presidente Von Der Leyen e dal Presidente Biden.

L'Executive Order prevede:

• garanzie vincolanti che limitino l'accesso dai dati personali da parte delle autorità di intelligence statunitensi, che dovranno limitarsi ai casi di stretta necessità e nel rispetto del principio di proporzionalità per proteggere la sicurezza nazionale;
• un controllo maggiore sulle attività dei servizi di intelligence USA per garantire il rispetto delle limitazioni previste per le attività di sorveglianza;
• l'istituzione di un meccanismo di ricorso indipendente e imparziale. Questo includerà la creazione di una nuova "Data Protection Review Court" per indagare e dare risposta ai reclami rispetto all'accesso ai dati personali da parte delle autorità di sicurezza statunitense.

L'Order prevede anche che le agenzie di intelligenze rivedano policy e provedure affinchè implementino queste nuove misure di salvaguardia.

Privacy Shield 2.0: quali tempistiche?

Come detto siamo di fronte ad una bozza di decisione di adeguatezza. La cui approvazione è necessaria per procedere al passo successivo e poter raggiungere un nuovo accordo. C'è chi già colloca l'approvazione del nuovo accordo nel 2023, ma c'è anche chi fa notare che una nuova impugnativa come quella che ha fatto invalidare gli accordi precedenti sia già nell'aria.

Non resta che attendere quindi: le acque si stanno smuovendo, ma resta ad oggi illegittimo il trasferimento dati negli USA, data l'assenza di una legittima base giuridica.