Post di Lisa da Re, Risk Security & Business Continuity Expert in BNPP Leasing Solutions e corsista EMBA Ticinensis – 

Sono trascorsi ormai quattro anni dal 25 Maggio 2018, data dell’entrata in vigore del General Data Protection Regulation (GDPR), regolamento europeo definito per tutelare i dati personali dei cittadini europei. Un paio di anni prima gli Stati Uniti d’America avevano introdotto il Privacy Shield (“scudo della privacy”) per consentire lo scambio di dati personali fra UE e USA, certificando un trattamento in linea con quanto definito nel GDPR.

Nel 2015, prima che il GDPR entrasse in vigore, Maximillian Schrems, avvocato austriaco ed attivista per la privacy, sollevò davanti alla Corte di giustizia dell’Unione europea il mancato rispetto della protezione dei dati personali dei cittadini europei da parte dei paesi extra-Ue. La Corte di giustizia dell’Unione europea, (CGUE) si è pronunciata il 16 Luglio 2020. Alludiamo alla sentenza Schrems II: il Privacy Shield è stato invalidato come strumento per il trasferimento dei dati dall’UE verso gli Stati Uniti. La ragione è che non tutela sufficientemente i dati dei cittadini europei. Di conseguenza, l’ordinamento americano non poteva ancora essere considerato allineato con quello europeo.

In particolare, con il Privacy Shield, le autorità statunitensi non rispettavano l’accesso e l’utilizzo dei dati (specialmente quelli inerenti alle intercettazioni) trasferiti dall’UE verso gli USA. Lo strumento è stato considerato troppo invasivo. Non erano rispettati i principi di proporzionalità e minimizzazione dei dati. E non era previsto nemmeno un meccanismo di ricorso indipendente e imparziale.

Le aziende europee si sono trovate, quindi, disorientate davanti a tale cambiamento e nella necessità di interrompere l’invio di dati verso gli USA o di utilizzare quelle che vengono chiamate Clausole Contrattuali Standard (SCC) per regolarizzare il trattamento dei dati.

La necessità di allineare gli ordinamenti europei e americani vede un primo passo in avanti il 7 Ottobre scorso. Il presidente americano Joe Biden firma l’Ordine Esecutivo (“Executive Order”), attuando l’accordo preso con la Presidente della Commissione europea Ursula von der Leyen a Marzo 2022 circa il ripristino semplificato del flusso dei dati personali dall’UE agli USA, attraverso l’introduzione di un “Privacy Shield 2.0”. Il futuro “Privacy Shield 2.0” dovrebbe, quindi, limitare l’accesso ai dati dell’UE da parte dei servizi di intelligence statunitensi e istituire un tribunale del riesame della protezione dei dati.

Il presidente Joe Biden (Epa)

Cerchiamo quindi di approfondire le novità introdotte dal recente Ordine Esecutivo.

La prima novità riguarda le attività di intelligence statunitensi che dovranno essere limitate a ciò che, in seguito ad approfondite analisi, risulti effettivamente necessario. Dovrà inoltre essere sempre rispettato il principio di proporzionalità tra la garanzia di sicurezza nazionale e i diritti e le libertà fondamentali delle persone fisiche. È sicuramente da apprezzare il tentativo di introdurre piccoli miglioramenti riguardanti il rispetto della privacy nell’ordinamento americano; in passato, i servizi di intelligence potevano trattare i dati personali di cittadini europei semplicemente quando lo ritenevano “ragionevole”. D’altro canto, però, bisognerà meglio comprendere come in futuro saranno attuati e rispettati i nuovi limiti.

La seconda importante novità riguarda l’istituzione di un sistema di ricorso giudiziario a più livelli a cui i cittadini europei possono ricorrere e da cui possono ottenere un ricorso vincolante, indipendente e imparziale. Il primo livello è rappresentato dal Civil Liberties Protection Officer (CLPO) che, in seguito ad un’indagine, definisce le azioni per rimediare al danno; si può inoltre impugnare la decisione del CLPO alla Data Protection Review Court (DPRC) – il secondo livello – composta da tre giudici indipendenti.

Nei giorni successivi alla firma dell’Executive Order sono emersi notevoli dubbi sull’indipendenza sia del CLPO, in quanto riporta direttamente al Direttore dell’Intelligence Nazionale, sia della DPRC in quanto i giudici vengono nominati da un organismo del Governo. Ad onore del vero, nel caso della DPRC ci sono delle garanzie simili a quelle che garantiscono l’indipendenza delle nostre Autorità (es. inamovibilità dei giudici).

Dobbiamo anche considerare che il Privacy Shield è stato annullato in quanto le leggi americane non erano equiparabili a quelle europee. Molti esperti del settore si stanno in questi giorni chiedendo come un ordine esecutivo, non essendo una legge e non potendo di conseguenza modificare le leggi, potrà risolvere il disallineamento. NOYB, l’associazione fondata da Maximillian Schrems, ritiene improbabile che l’Ordine Esecutivo firmato avvicini la disciplina americana a quella europea.

Il prossimo passo sarà compiuto dalla Commissione Europea, che a breve dovrà realizzare una relazione di adeguatezza circa l’ordinamento statunitense. La bozza della relazione sarà poi condivisa con l’European Data Protection Board (EDPB) e con un comitato composto dagli Stati Membri. Entrambi i pareri di EDPB e Stati Membri non saranno però vincolanti.

In caso di parere finale positivo della Commissione, i dati dei cittadini europei torneranno a circolare liberamente verso chi è stato certificato “Qualifying States”, ovvero paesi o organizzazioni regionali che hanno dimostrato leggi adeguate nella conduzione delle attività di intelligence, che consentono il trasferimento di informazioni personali per scopi commerciali e che promuovono gli interessi nazionali degli Stati Uniti.

In caso di parere negativo, invece, le aziende che esportano dati negli USA continueranno ad utilizzare come unica possibilità le Clausole Contrattuali Standard (SCC).

Le aziende europee e americane attendono quindi oggi il parere della Commissione Europea che dovrebbe arrivare entro la fine dell’anno. Il tentativo di armonizzare l’ordinamento americano a quello europeo in tema di privacy è stato apprezzato. Di fatto introduce concetti di necessità del trattamento, minimizzazione, proporzionalità, possibilità di ricorso. Eppure il timore è che tutto questo possa ancora una volta non bastare e addirittura portare ad un caso Schrems III.

FONTI:

Dati Europa-Usa, ecco l’ordine esecutivo di Biden:

Trasferire dati negli USA, dopo l’ordine esecutivo di Biden: le cautele da adottare

FACT SHEET

Trasferimento dati Ue-Usa: tutti i dubbi sull’ordine esecutivo di Biden

Scorza: Executive order di Biden