Nei giorni scorsi si è riaccesa la questione legata al trattamento dati Europa America con l’arrivo di “Data privacy framework”. La Commissione europea ha infatti adottato un nuovo accordo in merito al trasferimento dei dati e delle informazioni tra l’Unione europea e gli Stati Uniti. Un accordo già destinato a far discutere esattamente come e quanto quelli precedenti che sono stati annullati dalla Corte di giustizia europea, a causa dell’assenza di tutele adeguate da parte degli Stati Uniti. L’organizzazione per i diritti digitali Noyb, si sta già preparando a portare anche questo accordo davanti alla Corte, perché sembrerebbe una copia dei vecchi regolamenti. Le preoccupazioni per la protezione e diffusione dei dati sono crescenti e obbligano ad alcune riflessioni.
Lo scudo UE-USA per la privacy. Prima e dopo
Nell’ottobre 2015, la Corte di giustizia dell’Unione europea dichiara non valida la prima struttura degli accordi di trasferimento dei dati e delle informazioni tra l’Unione europea e gli Stati Uniti. L’accordo dal nome International Safe Harbor Privacy Principles, viene bocciato e si pensa ad un’alternativa. Inizia quindi il confronto su “Privacy Shield”, un accordo migliorativo rispetto al Safe Harbour. Tuttavia è fin da subito evidente che ci sono tre grandi criticità legate alla cancellazione dei dati e delle informazioni, alla quantità significativa di dati raccolti e alla sostanziale assenza di garanti e di garanzie. Già a maggio 2016, il Garante europeo della protezione dei dati si pronuncia definendo il “Privacy Shield” poco robusto e non abbastanza strutturato da da resistere a un futuro esame minuzioso della Corte. A luglio dello stesso anno, tuttavia, i rappresentanti degli Stati membri dell’Unione Europea approvano la versione finale dello Scudo UE-USA per la Privacy, aprendo la strada all’adozione della decisione da parte della Commissione. L’adozione avviene il 12 luglio 2016 ed e l’accordo entra in vigore lo stesso giorno. È il 16 luglio 2020 quando la Corte di giustizia della Ue annulla il “Privacy Shield”, ovvero una serie di accordi che permettono alle aziende europee di trasferire i dati personali dei propri utenti verso server negli Stati Uniti per scopi commerciali.
L’Era del “Data privacy framework”
Inizialmente presentata come una decisione di adeguatezza, il Data Privacy Framework (DPF), è, in estrema sintesi, il nuovo schema alla base della decisione della Commissione europea sul trasferimento dei dati tra gli stati dell’Unione europea e gli Stati Uniti. Il funzionamento, in buona sostanza, è analogo rispetto a quello precedente invalidato dalla Corte di Giustizia. Le aziende devono conformarsi a specifici obblighi per ottenere la certificazione ai sensi del DPF e godere dei benefici della decisione della Commissione europea.
La certificazione. I limiti e i dubbi
La certificazione che si ottiene ai sensi del Data privacy framework potrebbe non coprire tutti i prodotti e servizi offerti da una società statunitense. Un po’ com’è avvenuto in passato con il Privacy Shield e, anche per questo, il nuovo accordo suscita alcune perplessità. Le aziende statunitensi, in pratica, potrebbero avere difficoltà a conformarsi agli obblighi in relazione a tutti i loro servizi e quindi certificarne solo alcuni. Inoltre, non tutte le aziende sono certificabili secondo il DPF ma solo quelle soggette ai poteri di investigazione e di applicazione della Federal Trade Commission o del Dipartimento dei Trasporti degli Stati Uniti (DoT). Questo significa che interi settori, si pensi alle banche e alle compagnie assicurative, sono esclusi dal campo di applicazione del “Data privacy framework”. Tuttavia, i fornitori tecnologici che lavorano con queste aziende, rientrano comunque nel DPF.
Quando si applica il DPF (Data privacy framework)
Per determinare l’applicabilità del DPF è essenziale condurre una valutazione approfondita per verificare diversi aspetti. In primo luogo, è necessario determinare se l’organizzazione è eleggibile per la certificazione secondo le linee guida stabilite dalle autorità competenti. In secondo luogo, se l’azienda è stata certificata, occorre verificare se i prodotti e i servizi offerti all’interno dell’Unione Europea sono anch’essi certificati in conformità alle disposizioni del DPF. È importante che tutti e tre questi elementi siano soddisfatti per garantire l’applicazione delle disposizioni del DPF. Tuttavia, se uno di questi requisiti non è soddisfatto, sarà necessario seguire il regime di trasferimento dei dati che era in vigore prima del 10 luglio 2023. Questo significa che saranno richieste valutazioni più dettagliate, come la Valutazione dell’impatto del trasferimento (TIA), per garantire che il trasferimento dei dati avvenga nel rispetto delle norme sulla protezione dei dati e della privacy.
Le critiche di Noyb
Il gruppo per la difesa dei diritti digitali Noyb, guidato dall’attivista e avvocato Max Schrems, non ha apprezzato il nuovo regolamento che, a tratti, è molto simile a quello precedente bocciato dalla Corte di Giustizia europea. Secondo Noyb, gli Stati Uniti daranno al termine “proporzionato” un significato diverso da quello stabilito dalla stessa Corte al fine di consentire alle agenzie di intelligence di continuare a utilizzare i dati personali europei a loro piacimento. In pratica, il margine interpretativo resta ancora troppo ampio. L’istituzione di un tribunale del riesame in materia di protezione dei dati (Data Protection Review Court, DPRC), accessibile ai cittadini dell’UE, non rasserena gli animi. Noyb ha evidenziato, a tal proposito, che la Data Protection Review Court non è un vero tribunale, ma un organo esecutivo parzialmente indipendente, che non avrà alcuna interazione diretta con gli individui. Le persone dovranno invece presentare ricorso presso le autorità di protezione dei dati e non avranno alcuna udienza negli Stati Uniti. Noyb sostiene che questa situazione non garantirà né la cancellazione dei dati, né altre forme di tutela per le persone coinvolte.
Nessuna protezione costituzionale
Infine, nonostante il nuovo accordo, gli Stati Uniti non hanno riformato il Foreign Intelligence Surveillance Act, noto anche come FISA 702, che garantisce la protezione dei diritti costituzionali, incluso il diritto alla privacy, solo per i cittadini statunitensi. Di conseguenza, nonostante sia stato concordato da entrambe le sponde dell’Atlantico che il FISA violi i diritti fondamentali, come stabilito dal quarto emendamento della Costituzione degli Stati Uniti e dagli articoli 7, 8 e 47 della Carta dei diritti fondamentali dell’Unione europea, i cittadini europei continueranno a non ricevere alcuna protezione costituzionale da parte degli Stati Uniti.