NEWS

L’European Data Protection Board sulla nuova cornice giuridica per il trasferimento dei dati in Usa: una 'incoraggiante' bocciatura

In principio (si fa per dire) fu la sentenza C-311/18 della Corte di Giustizia dell'Unione Europea (c.d. “Schrems II”, del 16 luglio 2020) che invalidò di colpo (pur non essendo il classico fulmine a ciel sereno) lo Scudo Privacy (Privacy Shield), gettando milioni di operatori pubblici e privati in Unione Europea nelle ambasce di trasferimenti di dati personali 'senza rete' verso operatori stabiliti negli USA.

Non sono finite le criticità per i trasferimenti di dati personali tra UE e USA

Sopraggiunsero quindi i chiarimenti, le raccomandazioni e i tentativi di aiuto dell'European Data Protection Board (EDPB), che pure ampliava lo sguardo ben oltre i problemi tra le due sponde dell’ Atlantico (cfr. le Faq sul provvedimento CGUE del 23 luglio 2020, le Raccomandazioni nn. 01/2020 e 02/2020, le Linee Guida 05/2021), fino a formalizzare una definizione di 'trasferimento', concetto presupposto e non sviscerato dal Regolamento UE 2016/679 (d'ora in poi GDPR).

Il 7 ottobre 2022 il Presidente Biden firmava l'ordine esecutivo (EO, d'ora in poi) 14086, quale esito di una procedura/trattativa portata avanti da funzionari del governo americano e della Commissione UE, finalizzata (appunto) a generare le condizioni per il rilascio da parte della seconda di una nuova decisione di adeguatezza ed a risolvere in tal modo i giganteschi (e per lo più insormontabili) problemi dei trasferimenti di dati UE-USA.

L'EO 14086 era/è preordinato a superare i due 'squarci' rilevati dalla pronuncia CGUE nell'ordinamento giuridico USA:

- il primato delle esigenze di sicurezza nazionale, interesse pubblico e amministrazione della giustizia, che consentiva al governo USA ingerenze potenzialmente illimitate nei diritti fondamentali delle persone fisiche i cui dati erano stati oggetto di trasferimento;
- l'assenza di garanzie di indipendenza, rispetto al Dipartimento di Stato, del Mediatore dello “Scudo Privacy”, in contrasto con l’articolo 47 della Carta dei Diritti Fondamentali dell'Unione Europea.

Successivamente, il 13 dicembre u.s., la Commissione UE pubblicava una bozza della decisione di adeguatezza, divenuta oggetto di analisi e valutazione (non vincolante) da parte del Board in conformità a quanto previsto dall'art. 70.1, lett. s), GDPR.

Nel documento del Board si usa l'acronimo DPF per indicare l'EU-U.S. Data Privacy Framework, che è candidato a prendere il posto del vecchio Privacy Shield.

Il punto di partenza del parere EDPB (Opinion 5/2023 pubblicata il 28 febbraio u.s.) è la tradizionale differenza di approccio alla materia della protezione dei dati tra le due sponde dell'Atlantico: di qua si tratta di un diritto riconosciuto dall'art. 8 della Carta dei diritti fondamentali dell'UE; di là la protezione dei dati è specialmente considerata dal punto di vista consumeristico ovvero (della protezione) dei diritti dei consumatori.

In conseguenza (anche) di quanto sopra, l'ordinamento giuridico USA non conosce a livello federale una normativa generale sulla protezione dei dati personali, mentre normative del genere sono nel frattempo state adottate in singoli Stati (California, Colorado, Connecticut, Virginia, Utah) e per specifici settori.

L'EDPB registra la sussistenza di una molteplicità anche di basi legali, con tanto di limitazioni e garanzie, e quindi di strumenti che disciplinano l'accesso degli apparati di governo, per finalità di sicurezza nazionale, ai dati personali trasferiti negli Stati Uniti e i meccanismi di rimedio: il Foreign Intelligence Surveillance Act (di cui all'EO 12333), il più recente e suindicato EO 14086 e il Regolamento del ministero di giustizia (Attorney General Regulation o 'AG Regulation') che istituisce una sorta di tribunale del riesame sulle controversie afferenti alla protezione dei dati personali.

La bozza di decisione riflette, all'evidenza, la valutazione della Commissione UE circa i contenuti del DPF.

L'EO 14086 ha introdotto due nuovi requisiti che cercano di rispondere in positivo alle censure della sentenza “Schrems II”: da un lato, le attività di raccolta dei dati debbono rispondere ad un criterio di necessità ed ispirarsi a finalità comprovate, oltre che essere attuate con modalità che siano proporzionate a tali finalità; dall'altro, si predispone un meccanismo di rimedio.

Avv. Paolo Marini

(Nella foto: l'Avv. Paolo Marini)

L'EDPB registra un certo deficit di chiarezza nei documenti del DPF, facendo specifico riferimento alla struttura e numerazione degli allegati ma anche all'uso di determinati concetti/vocaboli, come per esempio 'titolari' e 'responsabili' (soprattutto nell'ottica di una netta distinzione di ruoli e di responsabilità), come anche una coerente declinazione dello stesso principio di finalità.

Questa caratteristica rischia di precludere o perlomeno rendere difficile una buona comprensione dei principi da parte degli interessati, ma soprattutto di produrre una incertezza di fondo sotto il profilo interpretativo ed operativo.

L'EDPB enuncia alcune osservazioni e/o registra, tra le altre, alcune incongruenze/carenze in tema di diritto di accesso, di regole applicabili ai trasferimenti successivi (onward transfers), di garanzie legali agli interessati a fronte di decisioni basate su trattamenti automatizzati compresa la profilazione.

Particolarmente pregnante è l'osservazione (al § 2.2, Procedural and Enforcement Mechanisms) che il DPF continua a basarsi su un sistema di autocertificazione delle imprese, anche se la Commissione si riferisce allo stesso come ad un sistema di certificazione (ma non v'è chi non veda la irrimediabile diversità tra i due concetti). E L'EDPB ritiene che i controlli sulla 'compliance', per quanto concerne il rispetto di requisiti sostanziali e non meramente formali, siano cruciali.

Maggiori informazioni e chiarimenti necessitano per il Board anche i meccanismi di riparazione ma il principale nodo gordiano di tutta la faccenda è proprio quello dell'accesso (indiscriminato) ai dati personali trasferiti negli USA da parte delle autorità pubbliche di quel Paese e questo è anche il cuore del parere, cui è dedicata la maggior parte delle sue 50 e passa pagine.

Qui l'EDPB ritiene necessario che non solo l'entrata in vigore ma anche l'adozione della decisione siano condizionate alla adozione di politiche e procedure aggiornate affinché i contenuti dell'EO 14086 siano implementati da tutte le agenzie governative/federali. E raccomanda alla Commissione UE che vada a considerare/valutare queste politiche e procedure aggiornate e condivida con l'EDPB stesso le proprie valutazioni.

L'EO 14086 ha effettivamente inteso superare le carenze rilevate dalla CGUE nella sua pronuncia “Schrems II”. Esso contiene degli obiettivi miglioramenti rispetto al Privacy Shield, nella misura in cui introduce i concetti di necessità e di proporzionalità nei trattamenti delle autorità pubbliche. Anche il meccanismo di riparazione costituisce un significativo miglioramento rispetto al pregresso “Ombudsperson mechanism”.

L'EO 14086 crea e stabilisce dei diritti in capo agli interessati, assicura (maggiori) garanzie di indipendenza alla Data Protection Review Court e più poteri effettivi nell'ambito delle azioni a disposizione degli interessati a fronte di eventuali violazioni.

Ciò nonostante l'EDPB ha identificato nella propria valutazione un certo numero di questioni/punti che necessitano di ulteriori chiarimenti, come per la fattispecie delle temporanee raccolte massive di dati e delle eventuali ulteriori operazioni di conservazione e/o di diffusione concernenti quegli stessi dati.

L'EDPB è ben conscio che il test/requisito di equivalenza non equivale ad un test/requisito di identità nella disciplina di protezione e che le garanzie incluse nella nuova cornice normativa sono aumentate, ma il suo punto di vista privilegiato resta la valutazione di quelle garanzie nella loro interezza, seguendo un approccio olistico che getta il proprio sguardo sull'intero ciclo di vita dei trattamenti di dati.

In questa ottica ecco alcune ulteriori osservazioni:

- bene l'introduzione da parte dell'EO 14086 dei concetti della necessità e proporzionalità, ma va sottolineata l'esigenza di un rigoroso monitoraggio degli effetti nella pratica di queste correzioni, ciò includendo (per conseguenza) la revisione delle politiche e procedure che implementano le garanzie dell'EO a livello di agenzie governative;
- bene anche la definizione di una serie di finalità per le quali i dati potranno o meno essere raccolti (e trattati) ma al contempo si nota come il relativo elenco sia suscettibile di essere aggiornato e accresciuto alla luce di sopraggiunte istanze/ di sicurezza nazionale;
- anche sul meccanismo di riparazione ci sono (come già visto) miglioramenti importanti nel DPF, sotto il profilo della accresciuta indipendenza della “DPRC” (Data Protection Review Court) rispetto all'Ombudsperson, ma il Comitato resta preoccupato da un lato della risposta standard di tale Corte, dall'altro della non appellabilità della medesima.

E' necessario per il Board che il funzionamento del meccanismo di riparazione sia adeguatamente monitorato dalla Commissione che, più in generale, dovrà impegnarsi a tenere sotto controllo le eventuali iniziative del governo USA, pronta a stabilire la sospensione, abrogazione o modifica della decisione di adeguatezza laddove, in particolare, quello dovesse decidere di restringere le garanzie previste dall'EO 14086.

Fermi i sostanziali passi in avanti che l'EO del 7 ottobre 2022 offre rispetto alla cornice giuridica precedente, l'EDPB richiede/auspica che siano affrontate e risolte le preoccupazioni espresse e che la Commissione ottenga i chiarimenti richiesti al fine di conferire solidità alle fondamenta della bozza di decisione.

Se dal documento fosse da trarre una sorta di voto complessivo sulla nuova cornice normativa per il trasferimento dei dati UE-USA, non saremmo sicuri che il Board abbia inteso attribuirgli la sufficienza; al contrario, il suo parere assomiglia di più ad un bel 'cinque', per quanto venato di riconoscimenti e di incoraggiamenti (ma può darsi che ci sbagliamo).

Resta pur sempre la questione di fondo, l'unica che interessi veramente gli operatori: quanto tempo ancora ci vorrà per avere la decisione di adeguatezza? Sarà sufficiente il 2023?

Note Autore

Paolo Marini Paolo Marini

Avvocato in Firenze, consulente di imprese e autore di libri, commenti, note a sentenze e altri contributi, impegnato nei settori del diritto e della procedura civile, della normativa in materia di protezione dei dati personali e sulla responsabilità amministrativa degli enti e delle persone giuridiche.

Prev Attenti ad incorporare sul proprio sito web video e contenuti che sembrano rispettare la privacy degli utenti ma hanno il cookie nascosto
Next Data Protection Officer, reputazione e credibilità anche grazie al ‘personal branding’

Camera dei Deputati: Artificial intelligence e sostenibilità

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy