Trasferire dati verso gli USA: nuovo accordo, manca la decisione di adeguatezza
Sono trascorsi ormai due anni dall’invalidazione del Privacy Shield da parte della famosa sentenza Schrems II del 16 luglio 2020 emessa dalla Corte di giustizia dell’Unione Europea, ossia l’accordo, che, in sostituzione del Safe Harbor, ha, per diversi anni, regolato il trasferimento di dati personali di cittadini europei dallo Spazio Economico Europeo verso gli Stati Uniti. Nella stessa sentenza, la CGUE aveva comunque ritenuto valida la decisione 2010/87 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a responsabili del trattamento stabiliti in Paesi terzi.
Causa di tale invalidazione, lo si ricorda, è stata la scoperta da parte dell’UE e la conferma dell’ingerenza che il Governo americano (in base al proprio ordinamento interno) ha anche sui dati personali di cittadini europei, quando questi vengono trasferiti su tale territorio perché, ad esempio, trattati da aziende statunitensi (o non statunitensi ma che comunque hanno uno stabilimento in USA) di cui gli operatori europei si avvalgono per fruire di servizi o per altre ragioni.
Da quella invalidazione, l’iter per trasferire dati personali dall’Unione Europea verso gli USA è diventato particolarmente complicato per tutte quelle aziende, anche PMI, che operano quotidianamente con gli Stati Uniti e che fruiscono [a volte anche senza saperlo] dei servizi informatici messi a disposizione dai grandi player americani e questo, a causa dei tanti adempimenti che le stesse sono costrette a compiere prima di avviare un trasferimento, pur rimanendo costantemente nel timore di non compiere i passi giusti per proteggere adeguatamente i dati personali trattati e quindi nella paura di non eseguire esattamente quanto previsto dalle leggi europee.
Oggi però pare che la strada del trasferimento di dati verso gli USA stia diventando meno tortuosa.La Commissione Europea ha infatti annunciato di aver raggiunto con gli USA un nuovo accordo. Si tratta del Trans-Atlantic Data Privacy Framework, in base al quale gli Stati Uniti si sono impegnati con l’Unione a predisporre nuove misure per proteggere i dati degli europei quando questi giungono su territorio americano e assicurare che le attività di controllo da parte del governo americano siano necessarie e proporzionate unicamente a perseguire la sicurezza nazionale.
Gli USA si sono impegnati altresì a stabilire un meccanismo di ricorso indipendente a due livelli con l’intervento di un’autorità che adotta una decisione vincolante per misure correttive dirette a potenziare la supervisione rigorosa e stratificata delle attività di intelligence al fine di garantire il rispetto delle limitazioni alle attività di sorveglianza.
Il Trans-Atlantic Data Privacy Framework è stato completato dopo un anno di trattative tra gli Stati Uniti e la Commissione Europea, fornirà una base stabile per i flussi di dati a livello transatlantico e sarà uno strumento fondamentale per proteggere i diritti dei cittadini e semplificare il commercio con gli USA in tutti i settori dell'economia, comprese le piccole e medie imprese.
Grazie ad esso verrà promossa un'economia digitale inclusiva a cui tutte le persone potranno partecipare e le aziende di tutte le dimensioni potranno svilupparsi in un contesto internazionale digitale sicuro.
Cosa dice il Trans – Atlantic Data Privacy Framework
Il nuovo accordo per il trasferimento dati UE-USA prevede tra i principi chiave che i dati potranno fluire liberamente e in sicurezza tra le aziende dell'UE e quelle statunitensi partecipanti, grazie ad una nuova serie di regole e salvaguardie vincolanti che limiteranno l'accesso ai dati da parte dell'intelligence statunitense, la quale potrà accedere ai dati solo rispetto a quanto necessario e proporzionato a proteggere la sicurezza nazionale.
Le agenzie di intelligence saranno chiamate ad adottare procedure per garantire un controllo efficace della nuova privacy e il rispetto delle norme sulle libertà civili.
Sono previsti rigorosi obblighi per le aziende americane che trattano dati personali provenienti dall'Unione, che avranno l'obbligo di autocertificare la propria adesione ai Principi attraverso il Dipartimento di U.S.A Commercio.
Saranno inoltre implementanti meccanismi di monitoraggio e revisione specifici e verrà garantita adeguata protezione ai dati degli europei trasferiti negli Stati Uniti, anche in base alle misure di protezione previste dalla Corte di giustizia europea (sentenza Schrems II).
Prossime tappe
L'accordo, per diventare efficace, dovrà essere traslato in un atto giuridico ufficiale, mentre gli Stati Uniti dovranno trasferire gli impegni assunti con il Trans – Atlantic Data Privacy Framework in un Decreto Esecutivo che sarà la norma in funzione della quale la Commissione Europea adotterà la propria decisione di adeguatezza che diventerà la base giuridica per il trasferimento dei dati verso gli Stati Uniti, al fine di attuare nel concreto il nuovo quadro transatlantico sulla privacy dei dati.
Con la Dichiarazione n. 1/2022 del 6 aprile 2022, sul nuovo accordo per il trasferimento dei dati personali verso gli USA, si è anche espresso il Comitato europeo per il trattamento dei dati personali (EDPB), dichiarandosi pronto a fornire i propri pareri e valutazioni sul testo dell’Accordo e a sostenere la Commissione UE e il Governo americano affinchè il nuovo quadro regolamentare contribuisca a rendere adeguato il livello di protezione dei dati personali quando questi sono trasferiti verso gli USA.
In particolare, lo EDPB analizzerà, in dettaglio, il testo dell’accordo per verificare se le riforme annunciate garantiscano realmente che il trattamento dei dati personali da parte dell’intelligence statunitense resti confinato alla sicurezza nazionale e che il trattamento sia limitato a quanto strettamente necessario e proporzionato a tale scopo; esaminerà in che misura verrà rispettato il meccanismo di ricorso indipendente annunciato e se i cittadini del SEE potranno accedere a misure di difesa effettive, quindi godere di un processo equo.
Lo EDPB verificherà, inoltre, se una nuova autorità che fa parte di questo meccanismo possa accedere alle informazioni pertinenti, tra cui dati personali, nell'esercizio del proprio incarico e sia messa nelle condizioni di adottare decisioni vincolanti per i servizi di intelligence, valutando altresì se di fatto sarà implementato un sistema che assicuri un ricorso giurisdizionale contro le decisioni adottate da questa autorità.
Come devono comportarsi nel frattempo le aziende che trasferiscono dati verso gli USA?
Il Trans – Atlantic Data Privacy Framework non è ancora operativo. La Commissione UE infatti in merito ancora non ha adottato alcuna decisione di adeguatezza, che, lo ricordiamo, ai sensi dell’articolo art. 45, par. 2 del Regolamento UE 2016/679, quando verrà definitivamente adottata, diventerà una base giuridica valida per il trasferimento dei dati personali verso gli Stati Uniti, in quanto sarà essa stessa a garantire che il livello di protezione dei dati personali previsto dal governo americano è adeguato, fino a quel momento, le aziende dovranno continuare a muoversi, secondo quanto stabilito dall’articolo 46 del Regolamento n. 679/2016, adottando le misure supplementari in base alle raccomandazioni [Raccomandation n. 2/2020] previste dallo EDPB [Comitato europeo per la protezione dei dati personali] sulle misure supplementari per i trasferimenti di dati, a seguito della sentenza Schrems II e alle Linee Guida n. 4/2021 adottate sempre dallo EDPB il 22 febbraio 2022, sui codici di condotta come strumenti per i trasferimenti verso paesi terzi o organizzazioni internazionali.