Una sentenza della Corte Suprema degli Stati Uniti fa scricchiolare i trasferimenti di dati personali UE-USA
La recente decisione della Corte Suprema degli Stati Uniti nel caso Trump v. Slaughter riapre una questione che, per imprese, Data Protection Officer e autorità europee, non può essere considerata marginale, su quanto sia realmente stabile l’EU-US Data Privacy Framework, cioè il meccanismo che dal 2023 consente di effettuare lecitamente trasferimenti di dati personali dall’Unione Europea verso le imprese statunitensi.

Secondo noyb, la pronuncia metterebbe in discussione uno dei presupposti sui quali la Commissione europea ha fondato la propria decisione di adeguatezza, ovvero l’indipendenza delle autorità statunitensi chiamate a vigilare sulle aziende che ricevono dati dall’Europa.
Non siamo, almeno per ora, davanti a una nuova Schrems III. Il Data Privacy Framework non è stato annullato, né sospeso. Le imprese statunitensi correttamente aderenti al sistema possono continuare a ricevere dati personali dall’UE sulla base dell’articolo 45 del GDPR. Ma il problema non è soltanto stabilire se il Framework sia oggi formalmente valido, ma capire se le garanzie che lo sorreggono siano destinate a resistere nel tempo.
Il terzo tentativo dopo Safe Harbor e Privacy Shield - L’attuale Framework è il terzo grande tentativo di costruire un ponte giuridico stabile tra Europa e Stati Uniti. Prima di esso vi sono stati Safe Harbor e Privacy Shield, entrambi invalidati dalla Corte di giustizia dell’Unione Europea nelle sentenze Schrems I e Schrems II, sempre su iniziativa dell’avvocato austriaco fondatore di noyb.
In entrambi i casi, il nodo riguardava il livello di protezione effettivamente garantito negli Stati Uniti. La Corte aveva rilevato criticità nell’accesso ai dati da parte delle autorità di intelligence americane e nell’assenza di rimedi sufficientemente efficaci per gli interessati europei.
Nel luglio 2023, la Commissione europea aveva quindi adottato una nuova decisione di adeguatezza denominata Data Privacy Framework, che si basa su limiti più stringenti alle attività di intelligence, su un nuovo meccanismo di ricorso e sull’enforcement affidato anche alle autorità federali statunitensi, anche se fin dall'inizio aveva già incontrato gli scetticismi di alcuni giuristi.
Tra le autorità Usa sotto la lente, figura infatti la Federal Trade Commission, che ha un ruolo rilevante nel controllo del rispetto degli impegni assunti dalle imprese aderenti al Framework.
Il nodo dell’indipendenza – Anche se la sentenza Trump v. Slaughter non riguarda direttamente il GDPR o i trasferimenti internazionali, la Corte Suprema si è pronunciata sui poteri del Presidente degli Stati Uniti di rimuovere componenti di autorità federali considerate indipendenti.
Tuttavia, se l’indipendenza della Federal Trade Commission risultasse attenuata, verrebbe meno una delle garanzie che la Commissione europea aveva considerato nella valutazione di adeguatezza.
Nel diritto europeo, l’indipendenza delle autorità di controllo non è un requisito formale. È una condizione essenziale affinché i diritti degli interessati possano essere tutelati in modo effettivo e non dipendente da valutazioni politiche contingenti. Un’autorità esposta al controllo dell’esecutivo potrebbe difficilmente offrire quella stessa affidabilità che l’Unione Europea pretende dalle proprie autorità di protezione dei dati.
Per questo noyb ha chiesto formalmente alla Commissione europea di ritirare ordinatamente la decisione di adeguatezza. Allo stato attuale, ovviamente la richiesta non ha modificato il quadro normativo vigente. Ma obbliga le istituzioni europee a interrogarsi sulla permanenza delle condizioni che avevano giustificato il riconoscimento di adeguatezza.
Cosa devono fare imprese e DPO - La risposta non può essere l’interruzione indiscriminata dei trasferimenti verso gli Stati Uniti. Il Framework resta utilizzabile e le imprese europee possono continuare a farvi ricorso quando il destinatario americano risulti validamente certificato.
Sarebbe però imprudente trattare questa base giuridica come una soluzione definitiva e immune da rischi. Le organizzazioni dovrebbero verificare che i propri fornitori statunitensi siano effettivamente iscritti nel Data Privacy Framework e che la certificazione copra i trattamenti interessati.
Nei rapporti più sensibili, ad esempio quando sono coinvolti dati di dipendenti, dati particolari, informazioni strategiche o trattamenti ad alto rischio, è opportuno evitare che l’intera strategia di trasferimento dipenda da un solo strumento. Clausole contrattuali standard, misure tecniche supplementari e possibili alternative organizzative possono costituire una rete di sicurezza da valutare già oggi.
Per il DPO, la vicenda dovrebbe tradursi in un aggiornamento della mappatura dei trasferimenti, in un’informativa al titolare del trattamento e nella verifica che la documentazione di accountability rappresenti correttamente le basi giuridiche utilizzate.
Il Data Privacy Framework non è caduto, ma inizia tuttavia a scricchiolare. Prima il Safe Harbor e poi il Privacy Shield hanno insegnato che, nei trasferimenti UE-USA, la validità formale di oggi non coincide necessariamente con la stabilità di domani. Il rischio non è che le imprese debbano fermarsi immediatamente, ma che, per la terza volta, si scoprano impreparate quando il ponte giuridico su cui hanno costruito i propri flussi di dati inizierà davvero a cedere.






