Il 10 luglio la Commissione europea ha adottato la decisione di adeguatezza sullo EU-U.S. Data Privacy Framework. La decisione di adeguatezza conclude che gli Stati Uniti garantiscono un livello di protezione adeguato – rispetto a quello dell’UE – per i dati personali trasferiti dall’UE alle società statunitensi che partecipano al quadro UE-USA sulla privacy.
La decisione di adeguatezza fa seguito alla firma dell’Executive Order 14086 da parte di Biden il 7 ottobre 2022 che, insieme ai regolamenti emanati dal Procuratore generale degli Stati Uniti Merrick Garland, ha introdotto nell’ordinamento americano una serie di salvaguardie per i cittadini europei, tra cui la limitazione del potere di accesso ai loro dati da parte delle agenzie di intelligence USA e la possibilità di proporre un ricorso indipendente. Trattasi di garanzie vincolanti per affrontare i punti sollevati dalla Corte di giustizia dell’Unione europea nella sua decisione Schrems II del luglio 2020. Per gli europei i cui dati personali sono trasferiti negli Stati Uniti, l’Executive Order, infatti, prevede:
- garanzie vincolanti che limitano l’accesso ai dati da parte delle autorità di intelligence statunitensi a quanto necessario e proporzionato per proteggere la sicurezza nazionale;
- una maggiore supervisione delle attività dei servizi di intelligence statunitensi per garantire il rispetto delle limitazioni alle attività di sorveglianza; e
- l’istituzione di un meccanismo di ricorso indipendente e imparziale, che comprende un nuovo tribunale per la revisione della protezione dei dati per indagare e risolvere i reclami relativi all’accesso ai propri dati da parte delle autorità di sicurezza nazionali statunitensi.
Nella sua decisione di adeguatezza, la Commissione ha valutato attentamente i requisiti che derivano dal nuovo Framework, nonché le limitazioni e le salvaguardie che si applicano quando i dati personali trasferiti negli Stati Uniti sono accessibili alle autorità pubbliche statunitensi, in particolare per scopi di applicazione della legge penale e di sicurezza nazionale.
Su questa base, la decisione di adeguatezza conclude che gli Stati Uniti assicurano un livello adeguato di protezione dei dati personali trasferiti dall’UE alle aziende che partecipano al Framework Con l’adozione della decisione di adeguatezza, le organizzazioni europee sono in grado di trasferire dati personali alle società partecipanti negli Stati Uniti, senza dover mettere in atto ulteriori garanzie di protezione dei dati.
Il Framework fornisce ai cittadini dell’UE i cui dati saranno trasferiti alle società partecipanti negli Stati Uniti diversi nuovi diritti (ad esempio, ottenere l’accesso ai propri dati o la correzione o la cancellazione di dati errati o trattati illegalmente). Inoltre, offre diverse vie di ricorso nel caso in cui i loro dati siano trattati in modo scorretto, tra cui meccanismi indipendenti e gratuiti di risoluzione delle controversie e un collegio arbitrale.
Il governo degli Stati Uniti ha istituito un nuovo meccanismo di ricorso a due livelli, con autorità indipendente e vincolante, per gestire e risolvere i reclami di qualsiasi individuo i cui dati sono stati trasferiti dallo SEE a società negli Stati Uniti in merito alla raccolta e all’utilizzo dei loro dati da parte delle agenzie di intelligence statunitensi.
Affinché un reclamo sia ammissibile, le persone non devono dimostrare che i loro dati sono stati effettivamente raccolti dalle agenzie di intelligence statunitensi. Gli individui possono presentare un reclamo all’autorità nazionale per la protezione dei dati, che garantirà che il reclamo venga trasmesso correttamente e che vengano fornite all’individuo tutte le ulteriori informazioni relative alla procedura, compreso l’esito. In questo modo si garantisce che l’individuo possa rivolgersi a un’autorità vicina a casa, nella propria lingua. I reclami saranno trasmessi agli Stati Uniti dal Comitato europeo per la protezione dei dati (EDPB).
In primo luogo, i reclami saranno esaminati dal Civil Liberties Protection Officer della comunità di intelligence statunitense. Questa persona ha il compito di garantire il rispetto della privacy e dei diritti fondamentali da parte delle agenzie di intelligence statunitensi.
In seconda battuta, gli individui hanno la possibilità di appellarsi alla decisione del Civil Liberties Protection Officer davanti alla Data Protection Review Court (DPRC), di recente creazione. La Corte è composta da membri esterni al governo degli Stati Uniti, che sono nominati sulla base di specifiche qualifiche, possono essere licenziati solo per gravi motivi (come una condanna penale o l’essere ritenuti mentalmente o fisicamente inadatti a svolgere i loro compiti) e non possono ricevere istruzioni dal governo a stelle e strisce. Il DPRC ha il potere di indagare sui reclami dei cittadini dell’UE, anche per ottenere informazioni pertinenti dalle agenzie di intelligence, e può prendere decisioni vincolanti per rimediare. Ad esempio, se il DPRC scopre che i dati sono stati raccolti in violazione delle garanzie previste dall’Executive Order, può ordinarne la cancellazione.
In ogni caso, la Corte selezionerà un avvocato speciale con un’esperienza pertinente per sostenere la Corte, che garantirà che gli interessi del denunciante siano rappresentati e che la Corte sia ben informata sugli aspetti fattuali e legali del caso. Questo assicurerà che entrambe le parti siano rappresentate e introdurrà importanti garanzie in termini di processo equo e di giusto processo.
Una volta che il Civil Liberties Protection Officer o il DPRC ha completato l’indagine, il denunciante sarà informato che non è stata individuata alcuna violazione della legge statunitense, oppure che è stata riscontrata una violazione e vi si è posto rimedio. In una fase successiva, il denunciante sarà anche informato quando qualsiasi informazione sul procedimento dinanzi al DPRC, come la decisione motivata della Corte, non sarà più soggetta a requisiti di riservatezza e potrà essere ottenuta.
Le aziende statunitensi possono certificare la loro partecipazione al Framework impegnandosi a rispettare una serie dettagliata di obblighi in materia di privacy. Questi potrebbero includere, ad esempio, principi di privacy come la limitazione delle finalità, la minimizzazione e la conservazione dei dati, nonché obblighi specifici relativi alla sicurezza dei dati e alla condivisione dei dati con terze parti. Il Framework sarà gestito dallo US Department of Commerce, che elaborerà le richieste di certificazione e controllerà se le aziende partecipanti continuano a soddisfarne i requisiti. Il rispetto da parte delle aziende statunitensi degli obblighi previsti dal Framework sarà applicato dalla Federal Trade Commission statunitense.
La decisione di adeguatezza è entrata in vigore con la sua adozione il 10 luglio e non è soggetta a scadenza. La Commissione seguirà costantemente gli sviluppi pertinenti negli Stati Uniti e riesaminerà regolarmente la decisione di adeguatezza. Il primo riesame avrà luogo entro un anno dall’entrata in vigore della decisione di adeguatezza, per verificare se tutti gli elementi pertinenti del quadro giuridico statunitense funzionano efficacemente rispetto alla pratica. Successivamente, e in base all’esito del primo riesame, la Commissione deciderà, in consultazione con gli Stati membri dell’UE e le autorità di protezione dei dati, la periodicità dei futuri riesami, che avranno luogo almeno ogni quattro anni.
Questo non significa che il Framwork sia al riparo da impugnative giudiziarie, tutt’altro. L’associazione NYOB che fa capo a Max Schrems ha già promesso battaglia: “Nonostante gli sforzi di pubbliche relazioni della Commissione europea, la legge statunitense o l’approccio adottato dall’UE non cambiano di molto. Il problema fondamentale del FISA 702 (Ndr, il Foreign Intelligence Surveillance Act, che autorizza programmi sorveglianza PRISM e UPSTREAM) non è stato affrontato dagli Stati Uniti, che continuano a ritenere che solo le persone statunitensi siano degne dei diritti costituzionali”. Il presidente di Nyob, calca la mano: “Si dice che la definizione di follia sia fare la stessa cosa più volte e aspettarsi un risultato diverso. Proprio come il ‘Privacy Shield’, l’ultimo accordo non si basa su cambiamenti materiali, ma su interessi politici. Ancora una volta l’attuale Commissione sembra pensare che il pasticcio sarà un problema della prossima Commissione”. E chiosa: “Il ricorso alla CGUE è pronto per essere presentato”.