Trasferimento dei dati negli USA: il punto dopo la pubblicazione della bozza di decisione di adeguatezza della Commissione UE

• Primo Piano
• Martedì, 20 Dicembre 2022 13:34

Il Presidente USA Biden, con l’ Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities firmato il 7 ottobre si è mosso lungo la road map dell’intesa raggiunta a marzo con la Commissione UE per il varo di un nuovo sistema che sostituisca il Privacy Shield, volto alla ripresa del trattamento / trasferimento oltreoceano dei dati personali.

L’Ordine esecutivo è arrivato dopo un periodo di incertezze iniziato a seguito della seconda sentenza Schrems (dal nome dell’attivista austriaco Maximilian Schrems che aveva promosso già la prima sentenza) della Corte di giustizia dell'UE che nel luglio 2020 ha dichiarato invalido l’accordo Privacy Shield fra UE-USA, in quanto ritenuto non idoneo a garantire la protezione dei dati personali dei cittadini europei rispetto ai poteri di sorveglianza delle Autorità di intelligence USA.

Da allora si sono imposte questioni sulla protezione de trasferimento dei dati personali che interessano in maniera massiva l’attività degli operatori e le libertà dei cittadini (basti pensare alle questioni di Google Analytics all’attenzione dei Garanti europei, alcuni dei quali sono già intervenuti con provvedimenti di rigore, e all’ indagine coordinata in corso sul cloud, questioni verso le quali la soluzione non può che essere di sistema piuttosto che essere rimessa ai singoli titolari del trattamento).

Da parte sua, il Comitato europeo per la protezione dei dati (EDPB), aveva adottato a prontamente nel luglio 2020 delle Faq per indirizzare gli operatori, fra l’altro con riguardo al ricorso e ai limiti delle clausole contrattuali tipo ("SCC") nel 2010 adottate dalla Commissione UE e poi aggiornate nel 2021 (per le disposizioni attualmente inerenti ai trasferimenti all’estero di dati personali cfr l’apposita pagina sul portale del Garante)

I punti cardine dell’intesa di marzo fra USA e Commissione UE prevedevano un sistema di regole USA:

- per vincolare l’accesso ai dati personali, da parte delle proprie autorità di intelligence, a quanto necessario e proporzionato per proteggere la sicurezza nazionale e l’adozione da parte delle agenzie di intelligence di procedure per garantire un controllo efficace dei nuovi standard in tema privacy;
- un sistema di ricorso a due livelli a favore dei cittadini europei, inclusivo di una apposita Data Protection Review Court;
- oneri specifici per le imprese USA, fra cui un processo di autocertificazione del rispetto dei nuovi principi;
- meccanismi di monitoraggio e revisione sul rispetto del nuovo assetto.

L’Ordine esecutivo ha definito quindi un nuovo assetto in funzione di tali aspetti e attende quindi l’adozione della decisione di adeguatezza UE. Su alcune di queste previsioni nel formulare un primo commento all’Ordine esecutivo, NOYB - organizzazione del cui board fa parte Schrems - così si è espressa: “First reaction: Executive Order on US Surveillance unlikely to satisfy EU law”.

Ora la palla è in campo europeo: lo scorso 13 dicembre, la Commissione UE reso disponibile il Draft adequacy decision on EU-US Data Privacy Framework, trasmesso all’EDPB (che in precedenza era già intervenuta con la Dichiarazione 01/2022 su alcuni punti nodali della questione) per raccogliere il suo parere. Secondo l’iter della comitatologia UE, la Commissione dovrà poi ottenere l’approvazione di un comitato composto da rappresentanti degli Stati membri. E in questo percorso sarà importante il contributo critico di tutti: del mondo delle imprese e del settore della pubblica amministrazione (che fra l’altro sconta ancora la carenza di infrastrutture cloud adeguate a livello europeo), della ricerca universitaria e degli esperti privacy, dei cittadini tutti.

Siamo in vista del possibile giro finale, nell’auspicio che si pervenga a un accordo che sia in grado di garantire effettivamente la protezione dei dati personali in linea con il GDPR e che, quindi, in prosieguo non venga registrata una sentenza Schrems III.

Va comunque considerato che il GDPR prevede anche altre possibili ”coperture” per il trasferimento dei dati personali verso paesi terzi e organizzazioni internazionali. Se la via principale è la menzionata decisione di adeguatezza ex-art 45 del GDPR, vi sono anche: il trasferimento soggetto a garanzie adeguate (art. 46), le norme vincolanti d’impresa (art. 47), sentenze giudiziarie e decisioni amministrative sulla base di un trattato di mutua assistenza giudiziaria (art. 48) e, infine, deroghe in specifiche situazioni (art. 49).

In argomento le faq pubblicate nel 2020 dell’EDPB, all’indomani della menzionata sentenza Schrems 2, forniscono indicazioni sulla possibilità e le cautele con cui potersi eventualmente avvalere delle altre “coperture”; inoltre, il 17 novembre l’EDPB ha posto in pubblica consultazione le Raccomandazioni sulle Binding Corporate Rules del titolare ex-art 47 GDPR.