La Commissione europea ha avviato, con l’emanazione della Draft Adequacy Decision for the EU-US Data Privacy Framework del 13/12/2022, il processo per l’adozione di una decisione di adeguatezza che possa auspicabilmente risolvere il problema dei flussi transatlantici di dati verso gli USA apertosi con l’invalidazione del Privacy Shield da parte della Corte di giustizia dell’Unione europea (CGUE) nella sentenza Schrems II del 2020.
Siamo dunque davanti ad un importante step dell’iter intrapreso dalla Presidente Von der Leyen e dal Presidente Biden nel marzo 2022 con il reciproco impegno per addivenire ad un Data Privacy Framework inteso a legittimare e a conferire nuovo impulso ai flussi di dati transatlantici a cui è seguita la firma dell’Executive Order 14086 da parte di Biden il 7 ottobre 2022 che, insieme ai regolamenti emanati dal Procuratore generale degli Stati Uniti Merrick Garland, ha introdotto nell’ordinamento americano una serie di salvaguardie per i cittadini europei, tra cui la limitazione del potere di accesso ai loro dati da parte delle agenzie di intelligence USA e la possibilità di proporre un ricorso indipendente.
Nella bozza di decisione sull’adeguatezza, la Commissione valuta il nuovo quadro giuridico statunitense concludendo che esso fornisce garanzie non identiche ma comparabili a quelle dell’UE: secondo l’esecutivo del vecchio continente gli Stati Uniti ora garantiscono un livello adeguato di protezione ai dati personali trasferiti dall’UE alle società d’oltreoceano.
Se e quando la decisione sarà adottata in via definitiva, realizzando così il meccanismo di adeguatezza previsto dall’art. 45 del GDPR, le aziende statunitensi potranno aderire allo EU-US Data Privacy Framework impegnandosi a rispettare una serie dettagliata di obblighi in materia di privacy, come ad esempio quello di eliminare i dati personali quando non sono più necessari per lo scopo per cui sono stati raccolti e di garantire la continuità della protezione quando i dati personali sono condivisi con terzi. I cittadini dell’UE potranno usufruire di diverse vie di ricorso nel caso in cui i loro dati personali vengano trattati in violazione del Framework, tra cui la possibilità di ricorrere gratuitamente a meccanismi indipendenti di risoluzione delle controversie e a un collegio arbitrale.
Inoltre, il nuovo quadro giuridico statunitense prevede una serie di limitazioni e salvaguardie per quanto riguarda l’accesso ai dati da parte delle autorità statunitensi, in particolare per scopi di applicazione della criminal law e di difesa della sicurezza nazionale. Secondo la Commissione europea, l’Executive Order 14086 – nell’affrontare le questioni sollevate dalla Corte di giustizia dell’UE nella sentenza Schrems II – ha risolto positivamente le criticità stabilendo che:
- l’accesso ai dati dei cittadini europei da parte dell’intelligence USA sarà limitato a quanto necessario e proporzionato per proteggere la sicurezza nazionale;
- gli individui dell’UE avranno la possibilità di contestare la raccolta e all’utilizzo dei loro dati da parte delle agenzie di intelligence statunitensi grazie a un meccanismo di ricorso indipendente e imparziale, che comprende una Data Protection Review Court di nuova istituzione. La Corte indagherà e risolverà in modo indipendente i reclami dei cittadini europei, anche adottando misure correttive vincolanti;
- le aziende europee potranno fare affidamento su queste garanzie anche quando utilizzano altri meccanismi di trasferimento previsti dal Capo V del GDPR come le clausole contrattuali standard e le norme vincolanti d’impresa.
Il progetto di decisione sull’adeguatezza sarà ora sottoposto alla procedura di adozione. Come primo passo, la Commissione ha presentato la bozza di decisione al Comitato europeo per la protezione dei dati (EDPB). Successivamente, la Commissione chiederà l’approvazione di un comitato composto da rappresentanti degli Stati membri dell’UE. Inoltre, il Parlamento europeo ha il diritto di controllo sulle decisioni di adeguatezza. Una volta completata questa procedura, la Commissione potrà procedere all’adozione della decisione finale di adeguatezza.
Una volta adottata la decisione, non mancheranno le attività di screening istituzionale sullo stato di adeguatezza. Il corretto funzionamento EU-US Data Privacy Framework sarà soggetto a revisioni periodiche, che saranno effettuate dalla Commissione europea insieme all’EDPB e all’EDPS (European Data Protection Supervisor) e alle autorità statunitensi competenti. Il primo esame avrà luogo entro un anno dall’entrata in vigore della decisione di adeguatezza, per verificare se tutti gli elementi pertinenti del quadro giuridico statunitense siano stati pienamente attuati ed operino efficacemente nella pratica.
Ma le istituzioni UE non saranno le uniche a monitorare che tutto vada bene. E’ molto probabile che, non appena introdotto, qualcuno questionerà il Framework avviando legal challenge simili a quelle che in passato portarono all’annullamento – con le sentenze Schrems I e Schrems II – delle precedenti decisioni di adeguatezza sui trasferimenti di dati UE-USA. Max Schrems, l’avvocato austriaco che ha dato il nome alle due sentenze storiche, ha già fatto sapere che lui e il suo collettivo di giuristi stanno affilando le armi: “Analizzeremo la bozza di decisione in dettaglio nei prossimi giorni. Poiché la bozza di decisione si basa sul noto Ordine Esecutivo, non vedo come possa sopravvivere a un ricorso alla Corte di Giustizia. Sembra che la Commissione europea emetta decisioni simili in continuazione, in palese violazione dei nostri diritti fondamentali”. Schrems aveva da subito giudicate insufficienti le misure assunte nell’Executive Order 14086 sostenendo che l’amministrazione statunitense ha accettato di limitare le attività di sorveglianza dei suoi servizi di intelligence a ciò che è “necessario” e “proporzionato” ma la sorveglianza di massa degli Stati Uniti di fatto non cambierà, dal momento che i sistemi e le pratiche legali americani ed europei divergono in modo significativo su ciò che definiscono come necessità e proporzionalità. Inoltre, l’attivista austriaco ha seri dubbi sul fatto che la nuova Data Protection Review Court sia un vero e proprio tribunale indipendente visto che afferisce al potere esecutivo statunitense.