In data 10 luglio 2023 la Commissione Europea ha adottato la decisione di adeguatezza[1] del EU-US Data Privacy Framework (“Data Privacy Framework”), che introduce il nuovo quadro normativo in materia di protezione dei dati per il trasferimento di dati personali dall’Unione Europea agli Stati Uniti[2].
La decisione colma un “vuoto” determinato dall’annullamento dei precedenti accordi e che aveva creato tensioni tra i due sistemi. Si è ora, invece, riconosciuta formalmente la sussistenza di garanzie sufficienti per la protezione dei dati personali trasferiti ad entità statunitensi e sono state introdotte nuove cautele vincolanti per rispondere ai noti rilievi della Corte di Giustizia dell’Unione Europea[3].
La decisione di adeguatezza interviene a seguito dell’ordine esecutivo “Enhancing Safeguards for United States Signals Intelligence Activities”[4], firmato dal Presidente Biden in data 7 ottobre 2022 e volto ad implementare un più alto livello di garanzie in materia di dati. Nello specifico, in tale ordine si prevede[5]: i) un insieme di garanzie che limitino l’accesso ai dati da parte delle agenzie di intelligencestatunitensi nella misura di quanto necessario e proporzionato per proteggere la sicurezza nazionale; ii) un maggiore controllo delle attività dei servizi di intelligence statunitensi per garantire il rispetto delle limitazioni alle attività di sorveglianza; iii) l’istituzione di un meccanismo di ricorso indipendente e imparziale che include un doppio grado di giudizio per prendere cura dei reclami di qualsiasi individuo i cui dati siano stati trasferiti dallo Spazio Economico Europeo ad entità statunitensi, in merito alla raccolta e all’utilizzo dei relativi dati da parte delle agenzie di intelligence americane (“Reclami”).
In particolare, le prime cure per amministrare e risolvere i Reclami sono affidate al Civil Liberties Protection Officer (“CLPO”), un funzionario facente parte dell’ufficio del direttore dell’intelligence nazionale. Il CLPO ha già potere di emettere una determinazione vincolante per le agenzie di intelligence statunitensi e di ordinare eventualmente azioni correttive appropriate. Per il “secondo grado” sulle decisioni del CLPO è invece competente il Data Protection Review Court (“DPRC”)[6]. Il riesame di tale organismo termina con una decisione definitiva interamente o parzialmente redatta ai fini del bilanciamento tra il principio di trasparenza e le esigenze di sicurezza nazionale[7].
Per quanto concerne le imprese statunitensi, qualora aderiscano al Data Privacy Framework, sussisterà un obbligo di cancellazione dei dati personali quando non più necessari allo scopo per cui sono stati raccolti, nonché un obbligo di continuità nella protezione dei dati condivisi con i terzi. L’accesso ai dati viene limitato a quanto necessario e proporzionato per la protezione della sicurezza nazionale, senza ulteriori specificazioni a riguardo.
La Commissione procederà al riesame del nuovo assetto entro un anno dall’entrata in vigore della decisione di adeguatezza, verificando se tutti gli elementi funzionino efficacemente nella pratica. In seguito, in base all’esito di tale valutazione, la Commissione deciderà sulla periodicità dei successivi riesami in consultazione con gli Stati membri dell’Unione e le Autorità per la protezione dei dati[8].
Nonostante tali premesse, il Data Privacy Framework solleva numerosi interrogativi, peraltro anticipati dalle perplessità raccolte nella risoluzione del Parlamento europeo dell’11 maggio 2023 contro l’adozione della decisione di adeguatezza[9], considerata dall’Eurocamera ingiustificata davanti all’asserita grave carenza di tutele del sistema americano, il quale sarebbe rimasto de factoimmutato (nonostante un restyling di facciata).
Nello specifico, tra i vari, quattro gli aspetti più controversi secondo la risoluzione del Parlamento: i) le decisioni del DPRC rimarrebbero segrete ed il ricorrente sarebbe informato esclusivamente del fatto che la procedura abbia identificato o meno violazioni della normativa privacy e delle misure adottate di conseguenza; ii) lungi dall’essere in toto indipendente, il DPRC sarebbe soggetto al potere del Presidente americano, che avrebbe facoltà di rimuoverne i componenti anche nel corso del loro mandato, nonché di annullare le decisioni di tale organismo, anche in segreto; iii) le definizioni legali e i principi sarebbero vaghi, imprecisi, e variamente interpretabili; in più, gli obiettivi di sicurezza nazionale giustificanti il trattamento di dati personali sarebbero definiti a maglie larghe e potrebbero essere modificati dal Presidente; iv) residuerebbe una nutrita serie di casi in cui vi sarebbe la possibilità di raccogliere insiemi massivi di dati senza la necessità di un’autorizzazione preventiva indipendente.
Aleggia lo spettro di una sentenza “Schrems III”?[10]
La nota organizzazione non governativa Noyb – European Centre for Digital Rights[11], guidata dall’avvocato austriaco Max Schrems, si è già detta pronta ad adire nuovamente la Corte di Giustizia dell’Unione Europea[12] facendo leva su due criticità: in primo luogo, appare problematico l’apparente accordo circa il significato da attribuire alla nozione di “proporzionalità”, utilizzata nell’ordine esecutivo statunitense come criterio per controllare la raccolta dei dati, ma che verrebbe nella pratica declinata differentemente da Unione Europea e Stati Uniti. In secondo luogo, il DPRC, non sarebbe un “tribunale”, ma un mero organo esecutivo solo parzialmente indipendente; esso presenterebbe inoltre meccanismi procedurali carenti in termini di trasparenza e di difficile accesso per il ricorrente, tale dunque da non potersi considerare come un “ricorso giudiziario” ex articolo 47 della Carta dei diritti fondamentali dell’Unione europea[13].
La palla passerà probabilmente ancora una volta alla Corte di Giustizia. Gli esiti di un nuovo giudizio sarebbero incerti e fortemente soggetti a considerazioni di equilibrio politico. Da una parte[14] vi sono voci secondo cui il Data Privacy Framework potrebbe “tenere” con chiusura definitiva della saga, dall’altra non si può escludere la possibilità di un ulteriore annullamento degli accordi da parte della Corte ed un ritorno al punto di partenza.
[1] La decisione di adeguatezza è un atto emanato ex articolo 45 par. 3 del Regolamento UE 2016/679 (GDPR), che conferisce alla Commissione il potere di decidere, previa valutazione degli elementi indicati ex articolo 45 par. 2, che un paese terzo garantisca un livello di protezione dei dati adeguato e che sia perciò possibile trasferirvi gli stessi.
[2] Si veda la decisione disponibile al seguente LINK.
[3] Nel 2015 la sentenza “Schrems I” aveva invalidato l’accordo Safe Harbor tra Stati Uniti ed Europa. Allo stesso modo nel 2020 “Schrems II” aveva sancito l’illiceità dell’accordo Privacy Shield intercorso tra i medesimi paesi. In ambedue i casi la CGUE aveva contestato le criticità del sistema americano afferenti in particolare agli estesi poteri delle agenzie di intelligence a fronte della mancanza di efficaci strumenti di tutela in caso di abusi.
[4] Si veda l’ordine esecutivo disponibile al seguente LINK.
[5] Si vedano i chiarimenti della Commissione al seguente LINK.
[6] Si vedano approfondimenti al seguente LINK.
[7] Si vedano approfondimenti al seguente LINK.
[8] Il Regolamento UE 2016/679 prevede un’attività di monitoraggio da parte della Commissione mediante riesame delle decisioni a cadenza periodica, almeno ogni quattro anni. Tale attività può concludersi con una modifica della decisione o in altre circostanze con la sospensione o la revoca (articolo 45, paragrafi 3-5 del Regolamento UE 2016/679).
[9] Per ulteriori informazioni si veda il nostro precedente contributo, disponibile al seguente LINK.
[10] Per ulteriori informazioni si veda il nostro precedente contributo, disponibile al seguente LINK.
[11] Noyb è un’organizzazione senza scopo di lucro con sede a Vienna, fondata nel 2017. Guidata dall’avvocato austriaco e attivista per la privacyMax Schrems, essa mira ad instaurare casi giudiziari strategici e iniziative mediatiche a sostegno del GDPR.
[12] Per ulteriori informazioni si veda il comunicato di Noyb, disponibile al seguente LINK.
[13] L’articolo 47, comma 1, della Carta dei diritti fondamentali dell’Unione europea recita che “ogni persona i cui diritti e le cui libertà garantiti dal diritto dell’Unione siano stati violati ha diritto a un ricorso effettivo dinanzi a un giudice, nel rispetto delle condizioni previste nel presente articolo”; Tale disposizione echeggia l’articolo 13 della Convenzione Europea dei Diritti Umani (CEDU), per cui “ogni persona i cui diritti e le cui libertà riconosciuti nella presente Convenzione siano stati violati, ha diritto ad un ricorso effettivo davanti ad un’istanza nazionale, anche quando la violazione sia stata commessa da persone che agiscono nell’esercizio delle loro funzioni ufficiali”.
[14] Per approfondimenti si veda il seguente LINK.