Negli ultimi tempi, a seguito delle decisioni della Corte di Giustizia dell’Unione Europea sollecitate dall’attivista Maximilian Schrems che hanno invalidato prima il Safe Harbour, e, successivamente, il Privacy Shield, il governo degli Stati Uniti, mosso dalla necessità di favorire gli scambi di dati personali tra UE e USA sta cercando di muoversi con tutti gli strumenti a disposizione per giungere ad una decisione di adeguatezza.
Il risultato complessivo è sicuramente un irrobustimento del sistema delle garanzie data privacy per i cittadini UE i cui dati personali vengono trattati in USA, ma anche una maggiore tutela dei diritti privacy dei cittadini USA.
Ed infatti:
- se da un lato gli USA stanno agendo con un Ordine esecutivo sul rafforzamento delle salvaguardie per le attività di intelligence dei servizi segreti degli Stati Uniti(1), con l’evidente obiettivo di attuare il data privacy framework (DPF) concordato con l’Unione Europea,
- dall’altro, è stato recentemente presentato un progetto di legge alla House of Representatives chiamato “American Data Privacy and Protection” o “ADPPA” bill H.R. 8152(2).
Quest’ultimo, pur non essendo articolato come il California Consumer Privacy Act, sarebbe tuttavia il primo progetto di legge federale in tema data privacy e ha nei suoi contenuti essenziali anche la tutela della privacy dei consumatori, tanto che l’FTC (la Federal Trade Commission) dovrà appunto dotarsi di un ufficio paragonabile a quello per la tutela dei consumatori, finalizzato alla verifica del rispetto della predetta normativa.
Sicuramente l’intervento però più sorprendentemente e rivoluzionario è rappresentato dall’Executive Order e dai provvedimenti conseguenti perché attraverso questi il Presidente degli Stati Uniti, pur riconoscendo l’importantissimo ruolo che le agenzie di intelligence svolgono per la sicurezza della nazione, ha ritenuto che tale attività debba essere bilanciata con gli interessi degli individui a veder rispettato il proprio diritto alla riservatezza dei dati.
Tra i documenti a supporto dell’Executive Order non può non menzionarsi soprattutto il Fact Sheet(3) e cioè la scheda informativa di accompagnamento dell’Executive Order nella quale viene chiaramente definito l’obiettivo di tutti gli sforzi che il governo americano sta compiendo. Nello specifico si ricorda che “I flussi di dati transatlantici sono fondamentali per le relazioni economiche UE-USA, che valgono 7.100 miliardi di dollari.” E che il data privacy framework UE-USA “ripristinerà un’importante base giuridica per i flussi di dati transatlantici, rispondendo alle preoccupazioni sollevate dalla Corte di giustizia dell’Unione europea che ha bocciato il precedente quadro normativo”.
In detto documento il Presidente Joe Biden aggiunge che “Le aziende statunitensi e dell’UE, grandi e piccole, in tutti i settori dell’economia, fanno affidamento sui flussi di dati transfrontalieri per partecipare all’economia digitale ed espandere le opportunità economiche. Il DPF UE-USA rappresenta il culmine di uno sforzo congiunto degli Stati Uniti e della Commissione europea per ripristinare la fiducia e la stabilità dei flussi di dati transatlantici e riflette la forza delle relazioni UE-USA basate su valori condivisi.”
Al tempo stesso precisa che “l’ordine esecutivo rafforza una serie già rigorosa di salvaguardie della privacy e delle libertà civili per le attività di intelligence dei segnali degli Stati Uniti. Inoltre, crea un meccanismo indipendente e vincolante che consente agli individui degli Stati e delle organizzazioni regionali.. ..di chiedere un risarcimento se ritengono che i loro dati personali siano stati raccolti attraverso l’intelligence dei segnali degli Stati Uniti in un modo che viola la legge statunitense applicabile.”
Subito a seguito della emanazione dell’Executive Order il Dipartimento di Giustizia ha diffuso un comunicato(4) con cui il procuratore generale ha precisato di aver adottato un regolamento che ha istruito un tribunale di revisione della protezione dei dati, così come richiesto dall’Executive Order.
Anche l’Unione Europea si è mossa, emanando alcune Questions & Answers(5) sul data privacy framework con gli USA, puntualizzando che a fronte dell’ordine esecutivo e delle nuove garanzie vincolanti con esso introdotte volte a:
i) limitare l’accesso ai dati dell’UE da parte dei servizi di intelligence statunitensi e
ii) istituire un tribunale per la revisione della protezione dei dati, la Commissione europea preparerà un progetto di decisione di adeguatezza e avvierà la procedura per la sua adozione.
Non si tratta di una particolare concessione data al governo USA, infatti, come precisato dalle Q&A citate “Il nuovo decreto esecutivo, insieme ai regolamenti che lo accompagnano, istituisce un nuovo meccanismo di ricorso a due livelli, con un’autorità indipendente e vincolante. Si tratta di miglioramenti significativi rispetto al meccanismo che esisteva nell’ambito del Privacy Shield. All’epoca, le persone potevano rivolgersi a un Ombudsperson, che faceva parte del Dipartimento di Stato degli Stati Uniti e non aveva poteri investigativi o decisionali vincolanti come quello dell’Autorità Giudiziaria.”
La Corte di Giustizia aggiunge alcune importanti informazioni che vale la pena ricordare.
Anzitutto precisa che la nuova decisione di adeguatezza è necessaria per stabilire una base giuridica che legittimi i trasferimenti dati verso gli Stati Uniti. Precisa che tra l’altro è sicura che tale decisione non venga invalidata dalla Corte di Giustizia perché le preoccupazioni espresse con le sentenze Schrems possono concretamente dirsi superate dai provvedimenti intrapresi oltreoceano. Al tempo stesso ricorda che la procedura di adozione di una decisione di adeguatezza prevede diverse fasi: l’ottenimento di un parere da parte del Comitato europeo per la protezione dei dati (EDPB) e il via libera da parte di un comitato composto da rappresentanti degli Stati membri dell’UE. A ciò si aggiunga che il Parlamento Europeo ha il diritto di controllo sulle decisioni di adeguatezza (potendo opporvisi).
Tutti questi step sono indispensabili per adottare una decisione di adeguatezza nei confronti degli Stati Uniti. Da quel momento in poi, i dati potranno circolare liberamente e in modo sicuro tra l’UE e le aziende statunitensi certificate dal Dipartimento del Commercio in base al nuovo quadro normativo. Le aziende statunitensi potranno aderire al quadro impegnandosi a rispettare una serie dettagliata di obblighi in materia di privacy. Un po’come avveniva con il Privacy Shield.
Nel frattempo che tale decisione di adeguatezza venga presa cosa possono fare però le aziende?
Sul punto è la stessa Commissione Europea a rispondere, ricordando che il Regolamento Europeo per la Protezione dei dati personali (GDPR) non si limita alle decisioni di adeguatezza tra gli strumenti per il trasferimento dei dati extra SEE. Esistono infatti altri strumenti ed in particolare le Standard Contractual Clauses (SSC) aggiornate ai requisiti stabiliti dalla Corte di giustizia nella sentenza Schrems II.
In ogni caso è importante sottolineare che la Commissione ha statuito che le garanzie concordate con il governo statunitense saranno applicate a tutti i dati provenienti dall’UE indipendentemente dallo strumento utilizzato. Tale precisazione è certamente di primario interesse perché se si considera che una decisione di adeguatezza non giungerà prima di 6 mesi, in ogni caso le aziende potranno sottoscrivere con i loro business partner d’oltre oceano le SCC effettuando un TIA (Transfer Impact Assesment) considerando che le garanzie concordate con gli Stati Uniti, sulla base dell’Executive Order saranno operative al più entro 60 giorni dal 7 ottobre scorso.
Si tratta quindi di notevoli passi avanti che non possono che essere accolti con molto favore dagli operatori di settore e dalle aziende europee che potranno essere in parte sollevate dai notevoli adempimenti che la situazione sinora esistente comportava per il rispetto del GDPR.
Per approfondimenti e normative, consultare i seguenti link e/o riferimenti:
(2) USA – American Data Privacy and Protection Act (ADPPA)
(4) USA – Office of Privacy and Civil Liberties | Redress in the Data Protection Review Court
(5) European Commission – Questions & Answers: EU-U.S. Data Privacy Framework, 7-10-2022