La Commissione europea il 10 luglio scorso ha adottato la decisione di adeguatezza sul quadro UE-USA per la protezione dei dati personali (Data Privacy Framework).
Mister Lex ha chiesto un primo commento sulla decisione al Prof. MIchele iaselli.
***
Decisione di adeguatezza della Commissione europea sul Data Privacy Framework: avremo una Schrems 3?
La decisione della Commissione europea di adeguatezza sul Data Privacy Framework giunge alla conclusione che gli Stati Uniti garantiscono un livello di protezione adeguato - comparabile a quello dell'Unione europea - per i dati personali trasferiti dall'UE alle imprese statunitensi nell'ambito del nuovo quadro. Sulla base della nuova decisione di adeguatezza i dati personali possono circolare in modo sicuro dall'UE verso le imprese statunitensi che partecipano al quadro, senza la necessità di ulteriori garanzie per la protezione dei dati.
Il quadro UE-USA per la protezione dei dati personali introduce nuove garanzie vincolanti per far fronte a tutte le preoccupazioni espresse dalla Corte di giustizia dell'Unione europea, tra cui la limitazione dell'accesso ai dati dell'UE da parte dei servizi di intelligence statunitensi a quanto necessario e proporzionato e l'istituzione di un tribunale del riesame in materia di protezione dei dati (Data Protection Review Court, DPRC), accessibile ai cittadini dell'UE. Il nuovo quadro introduce miglioramenti significativi rispetto al meccanismo esistente nell'ambito dello scudo per la privacy. Ad esempio, se il DPRC ritiene che i dati siano stati raccolti in violazione delle nuove garanzie potrà ordinarne la cancellazione. Le nuove garanzie in materia di accesso ai dati da parte delle pubbliche amministrazioni integreranno gli obblighi che le imprese statunitensi che importano dati dall'UE dovranno sottoscrivere.
Le imprese statunitensi potranno aderire al quadro UE-USA per la protezione dei dati personali impegnandosi a rispettare un insieme dettagliato di obblighi in materia di privacy, ad esempio l'obbligo di cancellare i dati personali quando questi non sono più necessari per lo scopo per il quale sono stati raccolti e di garantire la continuità della protezione quando i dati personali sono condivisi con terzi.
I cittadini dell'UE beneficeranno di varie vie di ricorso in caso di trattamento non corretto dei loro dati da parte di imprese statunitensi, quali meccanismi indipendenti gratuiti di composizione delle controversie e un collegio arbitrale.
Inoltre, il quadro giuridico statunitense prevede una serie di garanzie per quanto riguarda l'accesso ai dati trasferiti nell'ambito del framework da parte delle autorità pubbliche statunitensi, in particolare a fini di contrasto penale e di sicurezza nazionale: l'accesso ai dati è limitato a quanto necessario e proporzionato per proteggere la sicurezza nazionale.
Ed è proprio questo il punto che lascia un po’ perplessi poiché come ben sappiamo la normativa americana in tema di sicurezza nazionale è molto rigida e non ammette limitazioni di sorta.
Si ricorda che dopo l'invalidamento della precedente decisione di adeguatezza sullo scudo UE-USA per la privacy da parte della Corte di giustizia dell'UE, la Commissione europea e il governo degli Stati Uniti hanno avviato discussioni su un nuovo quadro che affrontasse le questioni sollevate dalla Corte.
Nel marzo 2022 la Presidente von der Leyen e il Presidente Biden hanno annunciato di aver raggiunto un accordo di principio su un nuovo quadro per i flussi transatlantici di dati, a seguito dei negoziati tra il Commissario Reynders e la Segretaria al commercio degli Stati Uniti Raimondo. Nell'ottobre 2022 il Presidente Biden ha firmato un decreto sul rafforzamento delle garanzie applicabili alle attività di intelligence dei segnali condotte dagli Stati Uniti, che è stato integrato da regolamenti emanati dal Procuratore generale degli Stati Uniti Garland. Insieme, questi due strumenti hanno attuato nel diritto statunitense gli impegni assunti dagli Stati Uniti nel quadro dell'accordo di principio, e hanno integrato gli obblighi che incombono alle imprese statunitensi nell'ambito del quadro UE-USA per la protezione dei dati personali, ma sempre subordinatamente alle prioritarie esigenze governative di sicurezza nazionale. E’ questo il problema!!!
Ad ogni modo il funzionamento del quadro UE-USA per la protezione dei dati personali sarà oggetto di riesami periodici effettuati dalla Commissione europea in collaborazione con i rappresentanti delle autorità europee di protezione dei dati e delle autorità statunitensi competenti. Il primo riesame avrà luogo entro un anno dall'entrata in vigore della decisione di adeguatezza e verificherà che tutti gli elementi pertinenti siano stati pienamente attuati nel quadro giuridico statunitense e funzionino efficacemente nella pratica.
Ovviamente tutto ciò non esclude che come già accaduto per il passato la Corte di Giustizia dell’UE possa intervenire, se interessata da ricorsi e ritenere che il quadro UE-USA non tuteli adeguatamente i dati personali dei cittadini comunitari. In realtà molti temono che arriveranno diversi ricorsi e la spada di Damocle di una Schrems 3 incombe inesorabilmente.
Documenti correlati:
- COMMISSION IMPLEMENTING DECISION of 10.7.2023 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate level of protection of personal data under the EU-US Data Privacy Framework