Comunitario e Internazionale

EU-U.S. Data Privacy Framework - Trattamento dei dati personali verso gli USA, l'adozione non prima della primavera 2023

L'obiettivo è superare le due macro criticità sollevate con la sentenza Schrems II: porre un qualche freno alle attività di intercettazione massiva dei dati personali dei cittadini europei e una tutela giudiziaria reale e indipendente analoga a quella prevista dal GDPR in materia di violazione dei dati personali

di Valerio Vertua*

La Commissione Europea ha iniziato, il 13 dicembre scorso, il processo di adozione della Decisione di adeguatezza del c.d. EU-U.S. Data Privacy Framework al fine di superare il vuoto creatosi, a luglio 2020, dopo la pronuncia (c.d. sentenza Schrems II ) della Corte di Giustizia dell'Unione Europea di invalidità del Privacy Shield.

Senza quest'ultimo, la base giuridica maggiormente utilizzata per il trasferimento dei dati personali verso gli USA nell'utilizzo dei vari servizi di cloud computing rimane quella delle Clausole Contrattuali Tipo (Standard Contractual Clauses o SCC) aggiornate dalla Commissione EU in giugno 2021. Si deve per altro ricordare che le raccomandazioni degli EDPB prevedono che non basti la mera indicazione di applicazione delle SCC ma bisogna verificare in concreto che queste assicurino realmente un livello di protezione equivalente a quello previsto dalla normativa EU.

La Commissione Europea ha quindi pubblicato la bozza della Decisione di adeguatezza dopo un attento esame dell'Ordine Esecutivo USA (n. 14086) firmato dal presidente Biden il 7 ottobre scorso ed integrato dalle disposizioni regolamentari del Procuratore Generale Merrik Garland che hanno recepito i principi fissati dalla Commissione Europea e dagli Stati Uniti nel nuovo Trans-Atlantic Data Privacy Framework.

L'obiettivo è proprio quello di superare le due macro criticità sollevate con la sentenza Schrems II: porre un qualche freno alle attività di intercettazione massiva dei dati personali dei cittadini europei, emerso anche dalle rivelazioni di Snowden, da parte delle Agenzia di intelligence americane che non rispettano il principio di proporzionalità ed assicurare, negli USA anche nei confronti dei servizi di intelligence, una tutela giudiziaria reale e indipendente ai cittadini europei, analoga a quella prevista dal GDPR in materia di violazione dei dati personali.

La bozza di Decisione di adeguatezza si articola su 215 considerando e 4 articoli, oltra ad una serie di allegati, che hanno sensibilmente modificato il precedente testo del Privacy Shield.

Le modifiche più importanti sono proprio volte a circoscrivere sostanzialmente l'accesso ai dati personali europei da parte delle Agenzie di sicurezza americane che dovranno limitare la loro attività a quanto è necessario e proporzionale alla protezione della sicurezza nazionale.

L'altro aspetto innovativo e fondamentale è l'adozione di un meccanismo multi livello di tutela dei cittadini europei riguardo alle violazioni dei dati personali.

Questo comprende la possibilità per i cittadini EU di sottoporre un primo reclamo al Civil Liberties Protection Officer che ha lo scopo di assicurare il rispetto della privacy e dei diritti fondamentali da parte delle Agenzie di intelligence americane nonché di emettere nei loro confronti decisioni vincolanti.

In seconda istanza, viene prevista la possibilità di ottenere anche un risarcimento del danno, a fronte della raccolta e utilizzo dei loro dati da parte delle Agenzie americane di intelligence, attraverso un ricorso da presentare ad un nuovo tribunale di riesame (Data Protection Review Court) che dovrebbe essere indipendente dal potere esecutivo e che dovrebbe assicurare poteri di indagine e risolutori delle violazioni commesse con l'adozione di misure correttive e vincolanti per le Autorità di sicurezza americane.

In ultima istanza il cittadino EU potrà attivare l'arbitrato vincolante "EU-U.S. Data Privacy Framework Panel", composto da uno o tre arbitri scelti di comune accordo dalle parti, per dirimere unicamente le violazioni dei principi cardine del Data Privacy Framework nei confronti del singolo individuo, rimaste eventualmente disattese, e con cui sarà possibile imporre misure correttive non monetarie (ad es. l'accesso, la correzione, la cancellazione o la restituzione dei dati dell'individuo). Quest'ultima procedura non prevede per altro risarcimenti, costi, onorari e ciascuna parte sostiene le proprie spese legali.

Il funzionamento dell'EU-U.S. Data Privacy Framework sarà soggetto a revisioni periodiche, che saranno effettuate dalla Commissione Europea, insieme alle autorità europee per la protezione dei dati e alle autorità statunitensi competenti. Il primo esame avrà luogo entro un anno dall'entrata in vigore della decisione di adeguatezza, per verificare se tutti gli elementi pertinenti del quadro giuridico statunitense siano stati pienamente attuati e funzionino efficacemente nella pratica.

L'adozione di questa Decisione di adeguatezza è fortemente attesa dal mercato per tutti coloro che utilizzano oppure offrono servizi di cloud computing, proprio per colmare quel vuoto creatosi dopo la pronuncia di invalidità del Privacy Shield.

Con la Decisione di adeguatezza, le aziende europee e più in generale i Titolari di dati personali residenti in EU potranno trasferire legittimamente, senza necessità di ulteriori autorizzazioni o condizioni, i dati personali trattati verso quelle aziende americane che hanno aderito all'EU-U.S. Data Privacy Framework, certificandosi ed impegnandosi al rispetto degli obblighi in materia di privacy imposti da questo framework.

Le Aziende americane dovranno, in altre parole, ottenere una certificazione sul rispetto dei principi dell'EU-U.S. Data Privacy Framework rilasciata dal Dipartimento del Commercio USA così da essere considerati soggetti che assicurano un livello adeguato di protezione dei dati analogo a quello previsto dal GDPR.

L'iter formale per avere il testo definitivo della Decisione è però ancora lungo. Il prossimo passo è il parere, non vincolante ma importantissimo per evitare possibilmente il rischio di una sentenza Schrems III, dell'European Data Protection Board (EDPB); successivamente sarà necessaria l'approvazione di un comitato composto da rappresentanti degli Stati Membri europei. Il Parlamento EU avrà infine il diritto di controllo definitivo sulla Decisione di adeguatezza. Una serie quindi di attività istituzionali che dovrebbero portare, verosimilmente, all'adozione della Decisione non prima della tarda primavera 2023.

_____
*A cura dell'Avv. Valerio Vertua – partner di 42 Law Firm

Per saperne di piùRiproduzione riservata ©