EU-US Data Privacy Framework: un gigante dai piedi d'argilla
Salutata da molti con comprensibile scetticismo, la decisione di adeguatezza adottata dalla Commissione UE lo scorso 10 luglio intende riportare un cielo sereno sopra i trasferimenti dei dati verso le imprese titolari/responsabili stabilite negli USA, trasferimenti 'funestati' tre anni fa e per la seconda volta da una sentenza della Corte di Giustizia dell'Unione Europea, la c.d. “Schrems II” del 16 luglio 2020, che invalidò il Privacy Shield.
Per quanto si sappia che non di un fulmine a ciel sereno ebbe a trattarsi, non tanto perché un precedente analogo aveva colpito il primogenito Safe Harbor, piuttosto perché quell'esito si era intuito nell'aria (…) in forza di sufficienti vulnerabilità (rispetto ai diritti degli interessati) affioranti nell'ordinamento federale USA.
Che ne sarà del (terzogenito) Data Privacy Framework?
Diversi commentatori si sono già spesi nel tracciare il verosimile sviluppo nel senso di una nuova pronuncia della CGUE che, non nell'immediato, finirebbe/finirà per invalidare anche questo terzo tentativo (il ricorso da parte dell'avvocato e attivista austriaco Maximilian Schrems è già pronto).
Nella ricostruzione di alcuni osservatori il Data Privacy Framework (che d'ora in poi chiameremo anche 'Cornice') è essenzialmente un atto di natura politica o, forse è più corretto dire, mosso da una (robusta) istanza politica. Istanza da inserire, se possibile, nel contesto di un più ampio 'serrate-le-fila' che il mondo occidentale (e degli altri Stati al di fuori dell'Europa e del Nord America ad esso politicamente vicini) avrebbe inaugurato - indotto in particolare dalla guerra in Ucraina e dalla rottura dei pregressi equilibri - per esigenze geo-politiche di riposizionamento strategico ma anche per non meno pressanti (e comunque) connesse esigenze di natura economica e commerciale.
Dunque, secondo questa lettura e con buona pace della Presidente della Commissione (che ha dichiarato che "il nuovo quadro UE-USA per la protezione dei dati personali garantirà flussi di dati sicuri per i cittadini europei e apporterà certezza giuridica alle imprese su entrambe le sponde dell'Atlantico”), sarebbero soltanto state sistemate alcune 'pezze' sulla normativa federale USA, onde consentire all'Unione Europea di confezionare un atto che finalmente risolvesse l'annoso problema originato da un solco di natura ordinamentale, non proprio contingente ed anzi profondo, che ha creato problemi e ostacoli di non scarso momento nei rapporti tra milioni di soggetti tra le due sponde del Mar Atlantico: insomma, un elemento di indubbia divaricazione e conflittualità da rimuovere al più presto.
Le posizioni inequivoche dell'EDPB e del Parlamento UE - Questa interpretazione critica del nuovo accordo UE-USA ha tratto motivi di convincimento non banali e tutt'altro che campati per aria, peraltro, da atti tutti interni all'area euro-comunitaria.
Ricordiamo anzitutto che l’European Data Protection Board (con il Parere 05/2023 del 28 febbraio u.s., per il quale rinviamo ad un precedente articolo, sempre su questo portale, del 13 marzo) si era espresso apprezzando i passi avanti dell'ordine esecutivo di Biden (Executive Order 14086 del 7 ottobre 2022) ma anche rilevando problemi residui di non poco conto nell'impianto della Cornice.
Più recentemente ed in sede politica è stato il Parlamento dell'Unione, con una risoluzione dell'11 maggio u.s. adottata a maggioranza (306 sì, 27 no, 231 astensioni), ad affermare la propria netta contrarietà ad una patente di idoneità del Data Privacy Framework.
Le conclusioni della risoluzione meritano un cenno, per quanto di sintesi, perché in esse il Parlamento ha ricordato di avere invitato la Commissione (risoluzione del 20 maggio 2021) a non adottare una nuova decisione di adeguatezza per gli Stati Uniti in assenza di riforme significative (non essendo l'EO 14086 reputato tale) e a valutare l'adeguatezza di un Paese terzo “sulla base della legislazione e delle pratiche in vigore non solo nella sostanza ma anche nella pratica, come stabilito nei casi Schrems I, Schrems II e nel GDPR (considerando 104)”.
Il Parlamento ha osservato che i principi sulla protezione dei dati emanati dal Dipartimento del Commercio “non sono stati sufficientemente modificati, rispetto a quelli previsti dallo scudo per la privacy, per fornire una protezione sostanzialmente equivalente” e che “mentre gli Stati Uniti si stanno impegnando in modo importante per migliorare l'accesso ai mezzi di ricorso e alle norme sul trattamento dei dati da parte delle autorità pubbliche, la comunità dell'intelligence statunitense ha tempo fino all'ottobre 2023 per aggiornare le proprie politiche e pratiche in linea con l'impegno dell'OE 14086 e che l'avvocato generale degli Stati Uniti deve ancora nominare l'UE e i suoi Stati membri come paesi qualificati per poter accedere alla via di ricorso disponibile nell'ambito del DPRC”, ciò significando che la Commissione non poteva “valutare l'efficacia dei rimedi proposti e delle misure proposte sull'accesso ai dati nella pratica”.
Un gigante documentale... dai piedi di argilla? Vogliamo quindi osservare un po' da vicino che cosa, anche comparativamente, è/sia il Data Privacy Framework, l'atto con il quale la Commissione ha stabilito che gli Stati Uniti assicurano un livello adeguato – comparabile a quello assicurato nell'Unione Europea (e negli altri tre Paesi dello Spazio Economico Europeo) - di protezione dei dati personali.
Di primo acchito l'ampio documento della Cornice pare abbia nulla a che vedere con le prime decisioni di adeguatezza, pensiamo a quelle concernenti la Svizzera, prima in assoluto (26.07.2000), il Canada (20.12.2001), l'Argentina (30.06.2003), la Nuova Zelanda (19.12.2012), tutte redatte in forme decisamente asciutte, distribuite in documenti di non più di poche pagine, inquadrate nel regime allora vigente della Direttiva 95/46/CE e che, almeno in questa consistenza esteriore, paiono davvero di un'altra epoca storica.
Già la decisione sul Giappone, più recente (23 gennaio 2019) e sotto l'ombrello del Regolamento UE 2016/679 (che ha innovato/sviluppato, senza stravolgerla, la disciplina preesistente del trasferimento), con i suoi 191 considerando, con i 4 articoli della decisione e i 2 allegati a stabilire le condizioni aggiuntive della adeguatezza (il primo contenente le norme integrative adottate dalla Commissione per la protezione delle informazioni personali, il secondo le dichiarazioni, le garanzie e gli impegni ufficiali presentati dal governo giapponese alla Commissione europea) inaugurava il nuovo stile burocratico, talora complesso e paludato.
Su questa falsariga è stata altresì concepita la decisione di adeguatezza del Regno Unito (28.06.2021, 5 articoli preceduti da 181 considerando).
Il EU-US Data Privacy Framework, dal canto suo, è un compendio di 137 pagine distribuito in una prima parte che contiene 223 considerando, raggruppati in 8 capitoli (introduzione, il Data Privacy Framework UE-USA, accesso e utilizzo dei dati personali trasferiti dall'UE da parte delle autorità pubbliche/di governo negli Stati Uniti, conclusione, effetti della decisione e azioni delle autorità di controllo, monitoraggio e revisione della decisione, sospensione, revoca o modifica della decisione, considerazioni finali), precedenti la decisione in senso stretto che consta di 4 articoli, per concludere con 8 allegati tutt'altro che irrilevanti: nel primo sono contenuti i principi supplementari (rispetto a quelli già fissati nei considerando) in materia di trattamenti che le organizzazioni interessate debbono impegnarsi a rispettare. Questi principi supplementari sono stabilititi dal Dipartimento USA del Commercio.
Schematicamente il meccanismo della Cornice è del tutto analogo a quelli del Safe Harbor e del Privacy Shield: le organizzazioni statunitensi potranno aderire al Data Privacy Framework impegnandosi a rispettare una serie dettagliata di obblighi in materia di protezione dei dati personali ed altresì assoggettandosi ai poteri di indagine e coercitivi della Federal Trade Commissione (FTC) o del Dipartimento USA dei Trasporti. La volontà di ogni singola organizzazione di aderire alla Data Privacy Framework List dovrà essere rinnovata su base annuale, mentre l'applicazione degli effetti della decisione di adeguatezza (e quindi i suoi benefici) saranno assicurati dalla data in cui il Dipartimento l'avrà iscritta nella lista.
Quanto agli altri 7 allegati, si tratta in gran parte di missive ufficiali delle varie autorità governative USA alla Commissione europea, documenti che, combinati con l'Executive Order 14086 e con l'Annex 1 (di cui si è già detto), riflettono gli importanti e puntuali negoziati tra le Parti per rafforzare le misure di protezione della privacy e delle libertà civili. Una sorta di compito-a-casa per confermare tutti gli impegni assunti al fine del decollo del nuovo assetto regolatorio.
Dunque, a che cosa è dovuto il gigantismo della Cornice? Non è soltanto farina del sacco del nuovo e pesante stile burocratico. Come e di più che per Giappone e Regno Unito, l'approccio della nuova decisione di adeguatezza non poteva non tener conto di un contesto problematico che verosimilmente non deve essersi proposto con Paesi come Svizzera e Canada. Contesto problematico che, nel caso del rapporto con l'ordinamento statunitense, era/è rappresentato essenzialmente dal lascito immediato della invalidazione del Privacy Shield e cioè: 1) dal primato delle esigenze di sicurezza nazionale, interesse pubblico e amministrazione della giustizia, che consentiva ingerenze del governo tendenzialmente illimitate nei diritti fondamentali delle persone fisiche i cui dati erano trasferiti alle imprese statunitensi; 2) dalla assenza di garanzie di indipendenza della figura del Mediatore dello “Scudo Privacy” rispetto al Dipartimento di Stato, in contrasto con l’articolo 47 della Carta dei Diritti Fondamentali dell'Unione Europea.
(Nella foto: l'Avv. Paolo Marini)
Il preteso superamento di questi problemi da parte della Cornice è espresso (qui schematicamente) nella limitazione dell'accesso ai dati degli interessati da parte delle autorità pubbliche per finalità di sicurezza nazionale a quanto strettamente necessario e proporzionato (ma i deputati del Parlamento UE hanno notato che il quadro consente ancora in alcuni casi la raccolta in blocco di dati personali, non subordina detta raccolta a un'autorizzazione preventiva indipendente, non prevede norme chiare sulla conservazione dei dati) e nella istituzione di un tribunale del riesame in materia di protezione dei dati, indipendente ed imparziale, cui consentire il ricorso a fronte di violazioni dei diritti in argomento (ma anche qui i deputati hanno osservato che si istituisce la Data Protection Review Court per riconoscere un risarcimento agli interessati dell'UE, senonché le sue decisioni sarebbero segrete, violando il diritto dei cittadini all'accesso e alla rettifica dei dati che li riguardano, mentre i giudici possono essere rimossi dal Presidente che potrebbe perfino annullare le decisioni della Corte, in aperto contrasto con la sua pretesa indipendenza, comunque essendo la stessa inquadrata all'interno del potere esecutivo, non di quello giudiziario).
Se il mondo non gira (più) intorno all'Europa, non è forse il caso di cambiare qualcosa? A questo punto le nostre provvisorie, modeste conclusioni riguardano due protagonisti della vicenda.
I primi (sicuramente loro malgrado) sono i tantissimi operatori, titolari e/o responsabili stabiliti in UE, che certamente avranno salutato e saluteranno con un sospiro di sollievo la decisione della Commissione. È comprensibile, è scontato.
La nota stonata è, semplicemente, che non si può far finta che il Data Privacy Framework non abbia già gli anni contati. Soprattutto per coloro che debbono impostare investimenti/strategie di lungo termine, fare i conti con questa prospettiva, purtroppo, è inevitabile.
Il secondo protagonista è l'Unione Europea e, in particolare, la Commissione.
Nel corso degli ultimi decenni il panorama mondiale è cambiato moltissimo e nei nuovi scenari è comunque iscritto un obiettivo ridimensionamento del peso politico ed economico del Vecchio Continente, dei Paesi europei. E le intese che si formalizzano negli accordi/trattati internazionali di regola sono il segno dei rapporti di forza tra i contraenti.
La domanda è: a fronte di questo cambiamento è possibile, è saggio mantenere integralmente l'approccio delle disposizioni del Capo V del Regolamento UE 2016/679 (possiamo dirlo, eurocentrico)? O non è sensato prendere atto che, per esempio, in questi tre anni di vuoto normativo tra UE e USA le imprese europee hanno in gran parte continuato ad amministrare le loro relazioni di affari con i partner d'oltreoceano nel consapevole parziale, insufficiente rispetto dei requisiti cogenti e quindi sfidando anche l'eventualità di corpose sanzioni amministrative?
A che cosa sono servite le 'boccate' battute con il Safe Harbor e con il Privacy Shield? Possibile che non abbiano insegnato niente? Occorrono un sussulto di realismo, uno sguardo lungimirante.
Ricordiamo con l'EDPB (cfr. “domande più frequenti in merito alla sentenza della Corte di giustizia dell’Unione europea nella causa C-311/18”, 23.07.2020) che in generale, per i Paesi terzi, la soglia fissata dalla Corte di Giustizia nella sentenza “Schrems II” si applica anche a tutte le garanzie adeguate di cui all’articolo 46 del Regolamento UE 2016/679 utilizzate per il trasferimento dei dati in qualsiasi Paese terzo.
Pertanto il problema che la Cornice intenderebbe avere risolto con gli Stati Uniti d'America non riguarda soltanto alcuni strumenti (come le clausole contrattuali standard) né il rapporto con quel solo Paese (per quanto importantissimo), bensì concerne assai più ampiamente le relazioni tra esportatori UE/SEE ed importatori stabiliti in tutti gli altri Paesi del resto del mondo (tra cui, ricordiamolo, sono Cina, India, Brasile, Messico, Cile, Russia, Turchia, Indonesia, Thailandia, Vietnam, Sudafrica, Marocco, Algeria, Tunisia, eccetera eccetera eccetera).
Che cosa ci si potrebbe/dovrebbe aspettare dalla Commissione europea? Forse, che si accingesse a dare rapidamente attuazione all'art. 97 del Regolamento UE 2016/679, prestando (per quel che qui ci tocca) una attenzione precipua al contenuto dei paragrafi 1, 2, lett. a), 4: se il mondo non gira propriamente intorno a Noi (europei), forse è il caso di prenderne atto, non foss'altro che per quei milioni di esportatori (imprese, professionisti, organizzazioni no profit, altri enti privati e pubblici, ecc.) che sulla possibilità della circolazione dei dati (quale conseguenza dello scambio di beni e servizi) giocano la propria attività/esistenza.