Trasferimento dati Ue-Usa, Parlamento contrario all'adozione della decisione di adeguatezza

Il 13 dicembre 2022 la Commissione europea ha emanato il progetto di decisione di adeguatezza basata sull'accordo denominato Data Privacy Framework, per promuovere il trasferimento di dati personali dall'Unione europea agli Stati Uniti. La Commissione ritiene che il nuovo quadro normativo consenta di superare i problemi sollevati dalla sentenza Schrems II, con cui la Corte di Giustizia dell'Unione europea aveva invalidato il Privacy Shield.

Con la risoluzione dell'11 maggio 2023, il Parlamento europeo si è però dichiarato di parere contrario, affermando che il Data Privacy Framework costituisce un miglioramento rispetto al Privacy Shield, ma non sufficiente al fine di approvare una decisione di adeguatezza sul trasferimento di dati personali.

Il Privacy Shield e la sentenza Schrems II

Il trasferimento di dati personali al di fuori dello spazio economico europeo è consentito solo tramite determinati strumenti giuridici volti a tutelare i diritti e le libertà delle persone. Tra tali strumenti, ai sensi dell'art. 45 del GDPR, vi è il trasferimento sulla base di una decisione di adeguatezza, con cui la Commissione può consentire il libero trasferimento dei dati verso un paese terzo, se constata che quest'ultimo garantisce un livello adeguato di protezione dei dati.

Il 12 luglio 2016 la Commissione europea aveva adottato la decisione di adeguatezza basata sull'accordo tra UE e USA, denominato Privacy Shield, tale accordo si era reso necessario a seguito della sentenza Schrems emessa dalla Corte di giustizia europea, che aveva invalidato la precedente decisione di adeguatezza fondata sull'accordo denominato Safe Harbour.

La Commissione riteneva che le norme del Privacy Shield garantissero una tutela adeguata dei dati personali, tale da consentire il trasferimento dei dati europei verso le organizzazioni statunitensi che aderivano a tale accordo.

Successivamente però, con la sentenza Schrems II, la Corte di giustizia dell'Unione europea ha affermato che gli Stati Uniti non offrono una protezione dei dati personali provenienti dall'UE sostanzialmente equivalente a quella offerta dal diritto dell'Unione, e il Privacy Shield non ha posto rimedio a tale problema.

In particolare, la Corte di giustizia ha evidenziato che:

(i) la normativa degli USA non rispetta il principio di proporzionalità, consentendo programmi di sorveglianza non limitati allo stretto necessario, effettuati dalla propria intelligence sui dati europei;

(ii) il diritto statunitense non garantisce ai cittadini europei una idonea tutela giurisdizionale.

In merito al primo problema, la Corte ha rilevato che le attività di intelligence svolte dagli USA sui dati provenienti dall'Unione si fondano sull'art. 702 del Foreign Intelligence Surveillance Act ("FISA") e sull'Executive Order ("EO") 12333.

Ai sensi dell'art. 702 del FISA, gli USA consentono la sorveglianza di cittadini stranieri che si trovano al di fuori del territorio degli Stati Uniti tramite programmi di sorveglianza di massa.

Ai sensi dell'EO 12333, l'intelligence statunitense può accedere ai dati "in transito" verso gli Stati Uniti, accedendo ai cavi sottomarini posti sul fondale dell'Atlantico, e può raccogliere e conservare tali dati prima che giungano negli Stati Uniti.

Il Privacy Shield è stato stipulato allo scopo di porre rimedio a tali criticità del diritto statunitense, ma tale scopo non può dirsi raggiunto, in quanto il medesimo Privacy Shield stabilisce che i propri principi sulla privacy possono essere disapplicati se ciò è necessario agli Stati Uniti per soddisfare esigenze di sicurezza nazionale, interesse pubblico o amministrazione della giustizia. Pertanto, le organizzazioni statunitensi che ricevevano dati personali dall'Unione erano tenute a disapplicare, senza limiti, i principi dettati dal Privacy Shield, allorché questi ultimi interferivano con le suddette esigenze.

A titolo di esempio, se un utente europeo rilasciava i propri dati personali per usufruire dei servizi di un social network statunitense, tale social network, seppure aderente al Privacy Shield, aveva l'obbligo di consentire all'intelligence l'accesso ai suddetti dati, senza necessità di un motivo specifico, come la commissione di un reato da parte dell'utente.

Riguardo alla tutela giurisdizionale, la Corte di giustizia ha rilevato che i cittadini dell'Unione non hanno accesso agli stessi mezzi di ricorso di cui dispongono i cittadini statunitensi, poiché il quarto emendamento della Costituzione degli Stati Uniti, che nel diritto statunitense costituisce la tutela più importante contro la sorveglianza illegale, non si applica ai cittadini europei.

In proposito, la Corte ha affermato che il meccanismo di mediazione istituito dal Privacy Shield, non è effettivamente idoneo ad ovviare alla mancanza di una tutela giurisdizionale conforme ai requisiti del diritto dell'Unione.

Detto meccanismo di mediazione ha introdotto il Mediatore, quale organo decisionale posto a tutela dei cittadini europei in materia di privacy. La Corte ha osservato che il Mediatore manca del requisito di indipendenza dal potere esecutivo, in quanto egli è designato dal potere esecutivo di cui è parte integrante, e non vi sono garanzie particolari che accompagnano la sua revoca.

Inoltre, il Mediatore risulta privo dei necessari poteri per svolgere i propri compiti, in quanto egli non è autorizzato ad adottare decisioni vincolanti nei confronti dell'intelligence.A seguito di tale disamina, con la sentenza Schrems II, la Corte di giustizia europea ha pertanto dichiarato invalida la decisione di adeguatezza del Privacy Shield.

Il Data Privacy Framework

Con l'intento di superare le problematiche poste dalla sentenza Schrems II, il 13 dicembre 2022, la Commissione europea ha dato avvio alla procedura di adozione della decisione di adeguatezza basato sull'accordo denominato Data Privacy Framework per il trasferimento dei dati dall'UE agli USA.

Anzitutto la Commissione asserisce che tale accordo pone rimedio al problema della sorveglianza di massa poiché prevede garanzie vincolanti, che limitano l'accesso dell'intelligence statunitense ai dati europei a quanto necessario e proporzionato per proteggere la sicurezza nazionale.

La Commissione ritiene inoltre che sia garantita la tutela giurisdizionale dei cittadini europei, grazie all'istituzione di un nuovo meccanismo di ricorso, dotato di autorità indipendente e poteri vincolanti. Si tratta di un meccanismo a due livelli:

- al primo livello, i cittadini europei potranno presentare un reclamo al Civil Liberties Protection Officer, soggetto responsabile di garantire il rispetto della privacy e dei diritti fondamentali da parte delle agenzie di intelligence statunitensi;

- al secondo livello, le decisioni del Civil Liberties Protection Officer potranno essere impugnare dinanzi alla Data Protection Review Court di nuova creazione. Tale Corte sarà composta da membri esterni al governo degli Stati Uniti, che saranno nominati sulla base di specifiche qualifiche e potranno essere revocati solo per giusta causa (come una condanna penale) e, inoltre, non potranno ricevere istruzioni dal governo. La Data Protection Review Court avrà il potere di indagare in relazione ai ricorsi dei cittadini dell'UE, anche per ottenere informazioni pertinenti dalle agenzie di intelligence, e sarà dotato di poteri decisionali vincolanti.

La risoluzione del Parlamento europeo

Il Parlamento europeo ha espresso parere negativo rispetto al progetto di decisione di adeguatezza del Data Privacy Framework, ritenendo che gli Stati Uniti non garantiscano un livello di protezione sostanzialmente equivalente a quello richiesto dal diritto dell'UE.In particolare, relativamente all'EO 14086, col quale gli Stati Uniti hanno recepito nel proprio ordinamento il Data Privacy Framework, il Parlamento ha rilevato le seguenti criticità:

- l'EO 14086 fissa limiti alle attività statunitensi di intelligence, richiedendo che esse siano svolte secondo i principi di proporzionalità e necessità, ma le definizioni sostanziali di tali principi non sono in linea con quanto richiesto dal diritto dell'Unione;

- l'Executive Order definisce il perimetro entro il quale può essere svolta la raccolta di dati da parte dell'intelligence, elencando gli obiettivi legittimi che possono essere perseguiti nell'ambito di tale raccolta. Tuttavia, l'elenco degli obiettivi legittimi può essere modificato e ampliato dal Presidente degli Stati Uniti senza alcun obbligo di rendere pubblici gli aggiornamenti, né di informare l'UE;

- non è necessaria un'autorizzazione preventiva indipendente per la raccolta generalizzata di dati da parte dell'intelligence;

- ai sensi dell'art. 702 del FISA, il governo statunitense continua a rivendicare il potere di sorvegliare qualsiasi persona non statunitense per ottenere informazioni di intelligence;

- riguardo al nuovo meccanismo di ricorso, le decisioni della Data Protection Review Court non sarebbero rese pubbliche né disponibili al denunciante, il quale sarebbe solo informato del fatto che il riesame non ha individuato alcuna violazione oppure del fatto che la Data Protection Review Court ha emesso una decisione che richiede un'azione adeguata; ciò significa che un cittadino europeo che avvia un procedimento non avrebbe alcuna possibilità di essere informata in merito all'esito sostanziale della causa;

- la Data Protection Review Court fa parte del potere esecutivo e non della magistratura;-il Presidente degli Stati Uniti può annullare le decisioni della Data Protection Review Court, anche in segreto;

- il Presidente degli Stati Uniti può rimuovere i giudici della Data Protection Review Court durante il loro mandato;

- in definitiva, la Data Protection Review Court non soddisfa i requisiti di indipendenza e imparzialità come richiesto dal diritto dell'Unione.

Conclusione

Il Parlamento europeo ha infine sottolineato che la successione di meccanismi di trasferimento dei dati, abrogati dalla Corte di Giustizia europea, ha generato costi aggiuntivi per le aziende, e che vi è quindi la necessità di garantire la certezza del diritto, per evitare una situazione in cui le imprese debbano adattarsi costantemente alle nuove soluzioni giuridiche, situazione particolarmente onerosa per le PMI.

Il Parlamento ritiene che, qualora adottata, la decisione di adeguatezza del Data Privacy Framework potrebbe essere anch'essa annullata dalla Corte di Giustizia e, pertanto, invita la Commissione a non adottare tale decisione di adeguatezza ed a proseguire i negoziati con gli USA, al fine di creare un meccanismo di trasferimento dati adeguato al livello di protezione richiesto dal diritto dell'Unione.

a cura dell'Avv. Giovanni Ciano , Partner 24 ORE Avvocati