La gestione dei dati, il loro trattamento, come possono circolare, tra quali attori e Paesi con quali garanzie sono elementi strategici non solo per le industrie ed il commercio, per l’innovazione tecnologica, ma anche materia “sensibile” per quanto riguarda la protezione delle informazioni, la privacy degli individui e di conseguenza una priorità da tutelare, proprio in relazione al valore che rappresentano. Per questo è di interesse dei regolatori nazionali come dell’Unione Europea provvedere ad indicare a quale governance tendere. E’ questo un tema del tutto attuale in relazione al quadro giuridico di discussione in sede Europea relativo ad una possibile definitiva adozione di una Decisione di Adeguatezza per il trasferimento dei dati tra l’Unione Europea e gli Stati Uniti.

Il contesto

Proprio a dicembre dello scorso anno la Commissione Europea ha avviato il processo per l’adozione di una Decisione di Adeguatezza per il quadro UE-Usa in materia di protezione dei dati, con il fine di promuovere flussi transatlantici di dati sicuri. Ed il progetto di Decisione di Adeguatezza rispecchia le valutazioni della Commissione in base alla quale il quadro giuridico statunitense potrebbe fornire garanzie comparabili a quelle dell’UE. Sul progetto di Decisione si è concluso che effettivamente sarebbe possibile garantire un livello adeguato di protezione anche delle informazioni personali trasferiti dall’UE alle imprese statunitensi. Non si esclude quindi che il quadro Usa “potrebbe” fornire garanzie comparabili a quelle dell’UE ed il progetto è stato pubblicato e trasmesso al Comitato Europeo per la Protezione dei Dati (Edpb) per il relativo parere. 

Ursula Von der Leyen, presidente della Commissione europea
Ursula Von der Leyen, presidente della Commissione Europea

Gli elementi chiave del progetto di Decisione di Adeguatezza affermano che le aziende Usa possono aderire al Data Privacy Framework UE-Usa e si impegnano quindi a rispettare una serie dettagliata di obblighi in materia di privacy, tra questi l’eliminazione dei dati dati personali quando non sono più necessari per lo scopo per il quale sono stati raccolti e la garanzia di continuità della protezione quando i dati personali sono condivisi con terzi.

I cittadini UE continuerebbero a beneficiare di diverse vie di ricorso nel caso in cui i propri dati fossero trattati in violazione del quadro, anche gratuitamente “dinanzi a meccanismi indipendenti di risoluzione delle controversie e a un collegio arbitrale”, spiega la Commissione.

Non solo, il progetto riconosce che il quadro giuridico statunitense prevede anche una serie di limitazioni e garanzie relative all’accesso ai dati da parte delle autorità pubbliche statunitensi, in particolare per l’applicazione della legge penale e per finalità di sicurezza nazionale. In relazione alle questioni/obiezioni specifiche sollevate dalla Corte di giustizia dell’UE nella sentenza Schrems II, “l’accesso ai dati europei da parte delle agenzie di intelligence statunitensi sarà limitato a quanto necessario e proporzionato per proteggere la sicurezza nazionale, ed i cittadini UE avranno la possibilità di ottenere un risarcimento in merito alla raccolta e all’utilizzo dei propri dati da parte delle agenzie di intelligence statunitensi dinanzi a un meccanismo di ricorso indipendente e imparziale, che comprende un tribunale di revisione per la protezione dei dati di nuova creazione”. Inoltre, le imprese europee potranno fare affidamento su queste garanzie per i trasferimenti di dati oltreoceano, anche quando utilizzano altri meccanismi di trasferimento, come clausole contrattuali standard e regole aziendali vincolanti.

Decisione di Adeguatezza, a che punto siamo

La Commissione ha presentato quindi il suo progetto di decisione al comitato europeo per la protezione dei dati (Edpb). E l’Edpb però si è rivelato per lo meno interlocutorio, accogliendo con favore i miglioramenti nell’ambito del quadro sulla privacy dei dati UE-Usa, ma sollevando anche una serie di questioni e preoccupazioni.

Andrea Jelinek
Andrea Jelinek, presidente Edpb

Da una parte quindi l’European Data Protection Board riconosce i miglioramenti sostanziali come “l’introduzione dei requisiti che incarnano i principi di necessità e proporzionalità per la raccolta di dati da parte dell’intelligence statunitense e il nuovo meccanismo di ricorso per gli interessati dell’UE”.

Allo stesso tempo esprime perplessità e chiede chiarimenti su diversi punti: determinati diritti degli interessati, i trasferimenti successivi, la portata delle esenzioni, la raccolta temporanea di dati in blocco e il funzionamento pratico del meccanismo di ricorso”. Di fatto l’organismo accoglierebbe favorevolmente la Decisione di Adeguatezza se, oltre all’entrata in vigore, anche l’adozione della Decisione fosse subordinata ad una serie di ulteriori politiche e procedure aggiornate per attuare l’ordine esecutivo 14086 da parte di tutte le agenzie di intelligence statunitensi.

Tra le altre note, importante a nostro avviso quella relativa proprio al rispetto dell’Ordine Esecutivo Usa 14086 quando certifica i programmi che autorizzano il targeting di persone non statunitensi, anche se le autorità di intelligence che eseguono il programma sono vincolate da esso, perché “servirebbe comprendere meglio anche come vengono implementate le salvaguardie dell’ordine esecutivo in questione e come queste salvaguardie vengono applicate quando i dati vengono raccolti”.

Ricordiamo inoltre che, su questa materia, il Parlamento europeo esercita il diritto di controllo e solo una volta conclusa la procedura la Commissione potrà procedere all’adozione della decisione finale di adeguatezza. Nel tempo poi il Data Privacy Framework UE-Usa dovrebbe essere soggetto a revisioni periodiche, che saranno effettuate dalla Commissione, insieme alle autorità europee per la protezione dei dati e alle autorità statunitensi competenti. La prima è prevista ad un anno di distanza da quando entrerà in vigore la Decisione di Adeguatezza e prevede la verifica relativa all’attuazione di tutte le condizioni richieste al quadro giuridico statunitense ed al loro funzionamento.

Cosa serve fare

Serve un ulteriore confronto sugli aspetti di maggiore impatto della Decisione di Adeguatezza, così come sulle conseguenze e sulla necessità di procedere rapidamente al recepimento da parte degli Stati nazionali della Decisione a beneficio dei cittadini e delle imprese. Un tema caldo anche in relazione all’utilizzo dei data center dei principali hyperscaler ed alla sovranità dei dati, un tema che di suo potrebbe rimescolare anche le carte sulle strategie europee dei vendor per la sovranità dei dati, per il quale però si dovrebbe anche tornare a “monte” riflettendo sul fatto che concretamente gli Usa ad oggi non dispongono ancora di un impianto importante sulla protezione dei dati come è il Gdpr che come impianto e per completezza non trova riscontro ad oggi in alcuna legge federale Usa.

Il confine “politico” dell’UE non è di suo un dogma necessariamente sufficiente e valido per quanto riguarda il rispetto effettivo di privacy e protezione del dato. La possibilità di una maggiore collaborazione transatlantica sul tema tra UE e Usa, ma in entrambe le direzioni, potrebbe invece offrire ulteriori possibilità di mercato anche alle realtà europee, in un contesto – come quello attuale – in cui è evidente un ritorno a logiche di “protezionismo” non per forza necessarie e che di fatto non sempre garantiscono nemmeno la tutela dei diritti per cui sono state pensate. 

© RIPRODUZIONE RISERVATA

Condividi l'articolo:

ARTICOLI CORRELATIWHITEPAPER CORRELATIALTRO DALL'AUTORE