Il Capo V del GDPR fornisce chiare indicazioni sugli strumenti che rendono possibile, lecito e sicuro il trasferimento dei dati verso paesi terzi o organizzazioni internazionali. In particolare, il trasferimento dei dati personali è consentito se l’azienda (il titolare del trattamento e/o il responsabile del trattamento) può fare valere le seguenti specifiche garanzie:
- Decisioni di adeguatezza (Art. 45 GDPR)[1];
- In mancanza di decisione di adeguatezza, il trasferimento è consentito laddove il titolare o il responsabile del trattamento forniscano garanzie adeguate che prevedono diritti azionabili e mezzi di ricorso effettivi per le persone interessate (Art. 46 cpv 1 GDPR)[2].
In seguito alla sentenza Schrems II che ha abolito la presunzione di conformità al GDPR per il trasferimento dei dati personali tra aziende statunitensi e aziende europee, occorre non solo utilizzare le SCC o BCR ma anche (i) eseguire una valutazione dei rischi caso per caso (transfer impact assesment – TIA), (ii) verificare le circostanze del trasferimento, ossia che la legislazione del paese terzo destinatario consenta di rispettare gli obblighi previsti dalle clausole e nel caso le SCC e le BCR non fossero sufficienti a garantire la protezione dei dati (iii) attuare delle misure supplementari di protezioni.
La definizione del nuovo accordo USA-UE per la privacy deve prendere in considerazione le preoccupazioni espresse dalla CGUE nella sentenza Schrems II. In particolare, i programmi di sorveglianza fondati sulla normativa USA devono essere limitati alle attività strettamente necessarie in ambito di sicurezza nazionale (rispettando in questo modo il principio di proporzionalità) e nel contempo deve essere assicurato alle persone interessate europee un meccanismo di mediazione che possa fornire un mezzo di ricorso ad un organo che offra garanzie equivalenti a quelle previste dalla normativa europea ed in particolare a quanto previsto dalla Carta dei diritti fondamentali dell’UE[3].
Anche se l’E.O. pubblicato il 7 ottobre utilizza effettivamente la formulazione del diritto europeo, ed in particolare i termini di necessità e di proporzionalità (cf. sezione 2 (a) (ii) (B)), permangono dubbi sull’eccessiva facilità con cui le autorità USA possono accedere ai dati personali di cittadini europei. In effetti, non ci sono alcuni elementi che garantiscano che la sorveglianza di massa cambierà (cf. sezione 2 (c) (ii)) e pertanto tutti i dati inviati a provider statunitensi continueranno a finire in programmi di sorveglianza come PRISM[4] o Upstream[5]. Fintanto che le norme interne USA[6] non limiteranno radicalmente i loro sistemi di sorveglianza a quanto strettamente necessario, sarà difficile considerare che il termine “proporzionalità” utilizzato nell’E.O. abbia lo stesso significato di quello dettato dal diritto UE.
Oltre ai principi di proporzionalità e necessità, l’altra preoccupazione della CGUE era l’implementazione di un ricorso legale negli USA per le persone non statunitensi.
A tale effetto, viene instaurato un meccanismo di difesa a due livelli. Il primo livello sarà affidato al già esistente funzionario del Direttore dell’Intelligenze nazionale (di seguito CLPO)[7] e il secondo livello ad un “Tribunale per la revisione della protezione dei dati” (Data Protection Review Court) che giudicherà sulle istanze di secondo grado. Tuttavia, a dispetto del nome e come sostenuto da Nyod[8] non siamo in presenza di una vera e propria Corte e pertanto sembra difficile che questo organo possa equivalere a un “ricorso giudiziario” come richiesto dalla Carta dei diritti fondamentali dell’UE[9] e ricordato dalla CGUE[10].
Oltre a questi due livelli, il processo di difesa è abbastanza macchinoso. I reclami dei cittadini europei dovranno essere trasmessi al CLPO tramite le loro proprie Autorità di controllo. A sua volta il CLPO, potrà solo comunicare tramite l’autorità competente nello Stato, all’interessato se i suoi dati sono stati oggetti di violazione, ma non potrà riferirgli se è soggetto ad indagine (cf. Sezione 3 (c) (E)). Come sostenuto da Nyod, questo tipo di processo rende di conseguenza inutile l’esistenza della Corte in quanto non ci sarà sicuramente nulla da appellare. La sezione 3 (d) (i) (H) dell’E.O. precisa addirittura quale sarà la risposta della Corte indipendentemente dalle argomentazioni o dal caso[11].
Ora sarà alla Commissione Europea di ripensare alla decisione di adeguatezza che permetterebbe di ripristinare la base giuridica dei trasferimenti dei dati personali tra i due continenti ed in questo modo alleggerire sicuramente la pressione sugli attori economici. Basta ricordare il caso di Google Analytics per capire la portata devastante dell’assenza di un accordo tra UE – USA per gli operatori economici ed in particolare le relative sanzioni in caso di violazione[12].
La definizione del nuovo accordo tra i due continenti permetterà di ripristinare la fiducia e la stabilità dei flussi transfrontalieri e concreterà il fatto che la relazione UE- USA si fonde su valori condivisi.
Tuttavia, il processo di adozione della decisione di adeguatezza è un processo lungo che dovrà passare anche attraverso l’opinione del European Data Protection Board (EDPB)[13] e delle autorità di controllo nazionali, anche se non vincolante.
Senza dimenticare che potremmo attenderci, per i motivi innanzi esposti, ad una Schrems III e di conseguenza ad una invalidazione del nuovo UE-USA scudo privacy.
Il compito che spetta alla Commissione Europea non è del tutto semplice, da una parte una pressione del mercato marcato da una leadership americana e da un’altra la protezione della personalità e dei diritti fondamentali dei cittadini europei. Non sarebbe l’occasione per l’Europa di pensare a ridurre la sua dipendenza dai servizi informatici erogati dagli USA e pensare a sviluppare i suoi propri sistemi.
[5] È un termine utilizzato dalla National Security Agency (NSA) degli USA per intercettare il traffico telefonico.
[6] Legge statunitense FISA 702 del 2008 che ha ampliato in modo sostanziale le possibilità di sorveglianza e di accesso ai dati per le autorità statunitense ed in particolare i fornitori di servizi di comunicazione elettronica statunitensi possono essere obbligati a concedere alle autorità di sicurezza statunitensi l’accesso ai dati personali di “persone non statunitensi”, definite come chiunque non sia cittadino statunitensi o residente permanente negli stati uniti. Non esiste un’approvazione giudiziaria individualizzata per le persone non statunitensi.
Oltre a questa legge esiste anche ordini interni statunitensi di sorveglianza basati sul “potere intrinseco” del presidente USA come l’Executive Order 1233 (E.O. 12.333) e altri elementi descritti nella direttiva sulla politica presidenziale 28 (PPD-28).
[7] Responsabile della protezione delle libertà civili : Civil Liberties Protection Officer – CLPO, i cui componenti saranno nominati dal Governo USA.
[8]NOYB - European Centre for Digital Rights (designato come noyb, da "non sono affari tuoi") è un'organizzazione senza scopo di lucro con sede a Vienna (Austria) co-fondata, nel 2017, dall'avv. austriaco e attivista per la privacy Max Schrems. NOYB mira a lanciare casi giudiziari strategici e iniziative mediatiche a sostegno del regolamento generale sulla protezione dei dati (
GDPR), della proposta di regolamento ePrivacy e della privacy delle informazioni in generale.
[9] Art. 47 : “
Ogni persona ha diritto a che la sua causa sia esaminata equamente, pubblicamente ed entro un termine ragionevole da un giudice indipendente e imparziale, precostituito per legge.”
[10] Punto 197 : “
Pertanto, il meccanismo di mediazione di cui alla decisione «scudo per la privacy» non fornisce mezzi di ricorso dinanzi a un organo che offra alle persone i cui dati sono trasferiti verso gli Stati Uniti garanzie sostanzialmente equivalenti a quelle richieste dall’articolo 47 della Carta.”
[11] Una volta completata la revisione in risposta alla richiesta di revisione di un denunciante, il Tribunale per la revisione della protezione dei dati, attraverso le procedure prescritte dai regolamenti del Procuratore generale, informerà il denunciante, tramite l'autorità pubblica appropriata in uno Stato qualificante e senza confermare o negare che il denunciante è stato oggetto di attività di intelligence dei segnali degli Stati Uniti, che "la revisione non ha individuato alcuna violazione coperta o il Tribunale per la revisione della protezione dei dati ha emesso una determinazione che richiede un adeguato rimedio".
[12] Art. 83 cpv 5 lett. c
GDPR : sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente
[13] Link dell’EDPB :
https://edpb.europa.eu/about-edpb/about-edpb/who-we-are_it#:~:text=Il%20Comitato%20%C3%A8%20composto%20dalle,l'EDPB%20emana%20orientamenti%20generali.
