Lo scorso 13 dicembre è stato fatto un altro importante passo in avanti lungo la strada dell’approntamento di efficaci misure risolutorie relativamente al critico problema del trasferimento di dati personali tra Stati Uniti d’America e Unione Europea. Difatti, la Commissione Europea ha pubblicato la bozza della decisione di adeguatezza per il trasferimento di dati in parola, decisione che – ai sensi dell’articolo 45 GDPR – rappresenta una delle basi giuridiche legittimanti un trasferimento di dati personali dall’UE verso Paesi terzi (non facenti parte del SEE, Spazio Economico Europeo).
La bozza di decisione rappresenta, pertanto, uno snodo fondamentale del processo formale che porterà la Commissione ad adottare una definitiva decisione di adeguatezza sul punto al fine di addivenire – quanto prima – ad una soluzione che permetta ad ogni Titolare/Responsabile del trattamento di trasferire dati personali fuori dall’UE senza dover richiedere preventive autorizzazioni.
La bozza di decisione fa seguito alla firma dell’Executive Order ad opera del presidente USA Biden lo scorso ottobre che sembra aver introdotto una serie di salvaguardie per i dati personali degli interessati residenti negli Stati Membri dell’UE, limitando, in particolare, l’accesso a detti dati da parte delle agenzie di intelligence statunitensi e introducendo dei meccanismi che consentono agli interessati di proporre un ricorso indipendente.
Il poderoso e incontrollato accesso a tali dati di interessati residenti in UE da parte dei servizi di sicurezza e di intelligence statunitensi, infatti, era stato l’elemento che aveva contribuito a far dichiarare illegittimo il previgente Privacy Shield (a seguito di un intervento da parte della Corte di Giustizia dell’UE, con la nota sentenza Schrems II del luglio 2020). La CGUE, infatti, aveva ritenenuto che non fosse fornita negli USA un’adeguata protezione dei dati personali e che non fossero previsti dei meccanismi di ricorso che consentissero di far valere degli illeciti innanzi ad un tribunale.
Da quel momento il quadro giuridico in materia ha subito un forte scossone che ha messo in crisi molte società aventi come proprio core business il trattamento dei dati personali, le quali, vista la rilevanza dei flussi di dati fra l’UE e gli USA, hanno dovuto affrontare il problema derivante dall’assenza di una base giuridica legittimante tale trasferimento – e i correlati trattamenti di dati personali – per poter consentire il flusso di detti dati e permettere ai soggetti interessati di beneficiare dei servizi offerti da aziende statunitensi senza incappare in pesanti sanzioni da parte delle Autorità Garanti.
In assenza di una decisione di adeguatezza, infatti, il trasferimento di dati personali USA-UE può avvenire solo sulla scorta di complesse ed elaborate attività di valutazione ponderate sulla base delle garanzie che in territorio USA potrebbe (in sostanza non può) offrire il provider di turno che si ritrova ad elaborare dati cui, potenzialmente, le autorità di sicurezza americane, come accennato, possono accedere indiscriminatamente. Ciò comporta, conseguentemente, l’assenza di qualsiasi tutela per i diritti e le libertà dei soggetti interessati residenti in UE rispetto ai loro dati trattati in territorio americano.
Una prima analisi della decisione di adeguatezza, nella versione in bozza rilasciata nelle scorse settimane, rileva che la Commissione Europea ha voluto chiarire, innanzitutto, come il trasferimento di dati personali possa essere consentito anche nell’ipotesi in cui il livello di protezione dello stato terzo non sia identico a quello europeo, ma ad esso assimilabile.
I mezzi di cui si avvale il Paese terzo – indica la Commissione – possono differire da quelli impiegati nell’Unione, purché si dimostrino operativamente efficaci a garantire un livello di protezione adeguato e una effettiva attuazione, supervisione e applicazione degli strumenti di tutela approntati.
Inoltre, secondo il testo della sentenza Schrems II, la Commissione è chiamata a valutare, in particolare, “se il quadro giuridico del paese terzo in questione preveda norme intese a limitare le interferenze con i diritti fondamentali delle persone i cui dati sono trasferiti dall’Unione, e che le entità statali di quel paese sarebbero autorizzate a impegnarsi quando perseguono obiettivi legittimi, come la sicurezza nazionale, e forniscono un’effettiva protezione legale contro interferenze di questo tipo”.
A tal proposito la CGUE aveva rilevato che le limitazioni alla protezione dei dati personali previste dal diritto interno USA sull’accesso e sull’utilizzo da parte delle autorità pubbliche dei dati trasferiti dall’Unione per finalità di sicurezza nazionale non fossero equivalenti a quelli previsti dal diritto dell’Unione, per quanto riguarda la necessità e la proporzionalità di tali interferenze con il diritto alla protezione dei dati e che non fosse possibile garantire il diritto a un ricorso effettivo.
Proprio su questo punto, la Commissione ha avviato delle attività di verifica volte all’attenta analisi della legislazione USA al fine di garantire una migliore tutela degli interessati. Posto che deve essere garantito all’interessato di disporre di un ricorso amministrativo e giudiziario effettivo, la decisione – ricalcando quanto statuito da Biden nell’Ordine Esecutivo dello scorso ottobre – prevede che gli stessi possano perseguire i casi di mancato rispetto dei principi in materia di data protection attraverso contatti diretti con organismi istituiti ad hoc dalla legislazione americana.
I singoli, infatti, potranno presentare un reclamo direttamente all’organismo indipendente di risoluzione delle controversie designato per indagare e risolvere i reclami individuali e per fornire un adeguato ricorso gratuito al singolo.
Resta ferma, poi, la possibilità dei singoli di presentare reclami direttamente ad un’autorità di protezione dei dati nazionale presente nell’Unione.
Quale meccanismo di ricorso di ultima istanza, la decisione di adeguatezza prevede poi, nel caso in cui nessuna delle altre vie di ricorso disponibili abbia risolto in modo soddisfacente il reclamo di un individuo, che l’interessato dell’Unione può invocare l’arbitrato vincolante dell’EU-US Data Privacy Framework Panel.
Pertanto, dalla bozza della decisione in commento emergono i seguenti punti cardine:
- maggiore pregnanza data ai principi di necessità e proporzionalità (introdotti a livello interno dall’Ordine Esecutivo di Biden – Executive Order 14086 – dello scorso ottobre) come principi informatori dei controlli dell’intelligence statunitense sui dati personali di cittadini extra USA. Ciò al fine di garantire l’adeguamento a quanto prescritto dall’articolo 52 della Carta dei diritti fondamentali dell’Unione europea;
- qualsiasi limitazione al diritto alla protezione dei dati personali deve essere prevista dalla legge statunitense e la base giuridica che consente l’interferenza con tale diritto deve essa stessa definire la portata della limitazione all’esercizio del diritto in questione;
- al fine di soddisfare il requisito di proporzionalità, secondo il quale deroghe e limitazioni alla protezione dei dati personali devono applicarsi solo nella misura strettamente necessaria per soddisfare specifici obiettivi di interesse generale equivalenti a quelli riconosciuti dall’Unione, tale base giuridica deve stabilire regole chiare e precise per disciplinare la portata e l’applicazione delle misure in questione e imporre garanzie minime affinché le persone i cui dati sono stati trasferiti abbiano garanzie sufficienti per proteggere efficacemente i loro dati personali dal rischio di abuso;
- tali norme e tutele devono essere giuridicamente vincolanti e applicabili da parte dei singoli, che devono avere la possibilità di adire un tribunale indipendente e imparziale per avere accesso ai propri dati personali o per ottenerne la rettifica o la cancellazione;
- modalità di ricorso in due “gradi” (come vuole il dettato dell’articolo 47 della Carta dei diritti fondamentali):
- ricorso gerarchico ad un organo dell’organismo di sicurezza e intelligence statunitense (sotto forma di reclamo);
- impugnazione del reclamo davanti ad un organo terzo e imparziale con garanzie di indipendenza.
Nelle conclusioni, la Commissione afferma che sussistono gli elementi, viste le modifiche introdotte dall’Ordine Esecutivo e sopra richiamate, per poter garantire il rispetto degli elementi di sostanziale equivalenza delle tutele e dei principi previsti nel GDPR.
Il progetto di decisione sarà ora esaminato dal Comitato europeo per la protezione dei dati (EDPB) e dagli Stati membri europei. Una volta pubblicata la decisione definitiva, le aziende europee potranno fare affidamento su di essa per l’invio di dati negli Stati Uniti ma bisognerà ancora attendere perché la decisione finale non è prevista prima della primavera del 2023.
Non sono mancate alcune prime reazioni rispetto al contenuto della bozza di decisione, come quella dell’attivista Max Schrems (deus ex machina della controversia dalla quale prese vita il ricorso che portò la CGUE all’omonima sentenza sopra richiamata) che ha manifestato le proprie perplessità rispetto alla reale capacità di tale decisione di poter attutire il precipitato dei principi in essa affermati all’interno del panorama giuridico statunitense. Insomma, Schrems teme che ci ritroveremo di fronte ad un ennesimo Privacy Shield che non tutela realmente i cittadini europei e che si pone più come manifesto programmatico che come strumento di effettiva tutela di diritti e di libertà dei soggetti interessati.