L’impiego dei sistemi di intelligenza artificiale, nell’Unione Europea, è discip…
Con la nuova decisione di adeguatezza della Commissione europea il trasferimento di dati personali verso gli USA sarà presto oggetto di notevoli e importanti sviluppi.
Come nelle migliori serie Netflix , partiamo da un breve riassunto delle puntate precedenti. Tutto iniziò con il primo “caso Schrems”, dal nome dell’attivista privacy austriaco Maximilian Schrems. Con sentenza del 6 ottobre 2015, la Corte di Giustizia dell’Unione Europea (“CGUE”), criticando il fatto che il l’accordo sul trasferimento dei dati tra UE e USA all’epoca vigente (c.d. “Safe Harbour”) consentiva di derogare il GDPR per motivi di interesse pubblico come la sicurezza nazionale, ha dichiarato l’illegittimità della Decisione 520/2000/CE della Commissione europea che certificava l’adeguatezza del sistema statunitense in materia di trasferimento di dati personali.
Nel tentativo di ovviare alle problematiche richiamate, è stato adottato un secondo accordo (“Privacy Shield”). Tuttavia, in seguito alla pronuncia del 16 luglio 2020 della CGUE nel c.d. caso “Schrems II”, anche quest’ultimo accordo è stato invalidato in quanto non coerente con i principi cardine del GDPR. In particolare, la CGUE ha posto l’attenzione sulla violazione del principio di proporzionalità e minimizzazione dei dati dal momento che le autorità pubbliche statunitensi erano legittimate ad eccedere e trattare i dati personali trasferiti senza limitazioni a quanto strettamente necessario per le ragioni di sicurezza.
La CGUE, pur confermando la legittimità della decisione 2010/87/CE sulle standard contractual clauses (SCC), ha richiesto agli esportatori e importatori di dati personali che intendono avvalersi delle SCC di valutare, prima del trasferimento, se l’importatore sia in grado di rispettare, sulla base della legislazione applicabile e delle circostanze che caratterizzano il trasferimento nel caso concreto, gli impegni che assume con le SCC. La CGUE richiede, inoltre, di introdurre, se necessario, “garanzie aggiuntive”, “misure supplementari” e “meccanismi efficaci” che rendano il livello di protezione dei dati negli Stati Uniti equivalente a quello garantito nell’Unione Europea (c.d. valutazione d’impatto sul trasferimento o transfer impact assessment).
Il vuoto normativo creatosi in seguito alla dichiarazione di invalidità del Privacy Shield ha causato un’incertezza giuridica rilevante. Attualmente, infatti, molteplici sono le problematiche di compliance con il GDPR e la disciplina privacy che impattano le attività degli operatori economici.
Per dare seguito alle indicazioni contenute nella decisione “Schrems II”, la Commissione europea e il Governo degli Stati Uniti hanno iniziato a negoziare un nuovo accordo (il c.d. “Trans-Atlantic Data Privacy Framework”). Il 25 marzo 2022 la Presidente della Commissione europea Ursula Von Der Leyen e il Presidente degli Stati Uniti Joe Biden hanno raggiunto un accordo di principio, a cui è seguita, il 7 ottobre 2022, l’emanazione da parte del Presidente degli Stati Uniti di un Executive Order che ha dato attuazione agli impegni assunti nell’accordo di principio di marzo.
In particolare, l’executive order, al fine di solidificare il sistema delle garanzie data privacy per i cittadini UE i cui dati vengono trasferiti negli Stati Uniti, prescrive: (i) garanzie vincolanti volte a limitare ai casi di stretta necessità e nel rispetto del principio di proporzionalità l’accesso ai dati personali; (ii) un rigido controllo sulle attività dei servizi di intelligence USA per garantire il rispetto delle limitazioni previste per le attività di sorveglianza; (iii) l’istituzione di una nuova “Data Protection Review Court” competente a giudicare sui reclami proposti in merito all’accesso ai dati personali da parte della autorità di sicurezza statunitense; (iv) conseguente revisione delle rispettive policy e procedure interne per l’implementazione delle misure de quibus. Come riferito nella stessa scheda informativa di accompagnamento dell’Executive Order, “i flussi di dati transatlantici sono fondamentali per le relazioni economiche UE-USA, che valgono 7.100 miliardi di dollari”. In detto documento, il Presidente Joe Biden aggiunge che “le aziende statunitensi e dell’UE, grandi e piccole, in tutti i settori dell’economia, fanno affidamento sui flussi di dati transfrontalieri per partecipare all’economia digitale ed espandere le opportunità economiche. Il Data Privacy Framework UE-USA rappresenta il culmine di uno sforzo congiunto degli Stati Uniti e della Commissione europea per ripristinare la fiducia e la stabilità dei flussi di dati transatlantici e riflette la forza delle relazioni UE-USA basate su valori condivisi.”
Successivamente all’emanazione dell’ordine esecutivo e dei relativi regolamenti, la Commissione europea ha avviato la procedura per l’adozione della relativa decisione di adeguatezza, la cui proposta è stata resa pubblica il 13 dicembre scorso (https://commission.europa.eu/document/e5a39b3c-6e7c-4c89-9dc7-016d719e3d12_en). Ai sensi dell’art. 45 GDPR, la decisione di adeguatezza rappresenta uno degli strumenti per il trasferimento di dati personali verso un paese terzo senza la necessaria richiesta di preventive autorizzazioni in tal senso. La bozza in questione rappresenta il risultato di una delicata operazione di bilanciamento tra il rispetto dei principi fatti propri dalla normativa europea in materia di protezione dei dati personali e i poteri di sorveglianza degli Stati Uniti.
Nelle premesse della bozza di decisione di adeguatezza viene previsto che il trasferimento di dati personali sia lecito sic et sempliciter previa una valutazione circa l’assimilabilità del livello di protezione garantito dalle rispettive normative. Pertanto, non è richiesta una identità tout court delle norme europee a condizione che l’apparato normativo del paese terzo in materia si dimostri, nel concreto, efficace per garantire un livello di protezione adeguato.
Altro elemento innovativo che dimostra l’impegno a voler dare seguito alle doglianze rilevate nelle pronunce della CGUE è rappresentato dall’istituzione di uno specifico meccanismo di ricorso indipendente e imparziale per la risoluzione dei reclami dei cittadini europei.
La Commissione europea, in seguito alle modifiche introdotte dall’executive order, ha affermato che sussistono gli estremi per garantire il rispetto degli elementi di sostanziale equivalenza delle tutele e dei principi previsti nel GDPR. Una volta completata la procedura di adozione, che include anche un parere del Comitato europeo per la protezione dei dati (“EDPB”), la decisione di adeguatezza diverrà definitiva. Considerando le recenti evoluzioni, è verosimile attendersi a stretto giro sviluppi rilevanti.
Il contenuto di questo elaborato ha valore meramente informativo e non costituisce, né può essere interpretato, quale parere professionale sugli argomenti in oggetto. Per ulteriori informazioni si prega di contattare Marco Cappa e Matteo Calì.
