Il trasferimento dati UE-USA: tentativi di accordo e diplomazia dell’innovazione

L’Unione Europea da tempo ha rivolto la sua attenzione alla governance del mercato dei dati personali e della privacy. Come per molti suoi ambiti d’azione, l’Unione impone degli standard di protezione più alti di molti Stati esteri, e questo pone dei problemi di diplomazia commerciale. Se poi l’interlocutore sono gli Stati Uniti d’America, i problemi si concretizzano in tre anni di contrattazioni e dialoghi. Ripercorriamo le fasi e l’accordo risultato da questa lunghissima operazione.

I problemi nel trasferimento dei dati extra-UE

Il GDPR, ovvero il regolamento europeo che si occupa della disciplina generale della protezione dei dati, dedica una sua parte alla gestione dei flussi transfrontalieri dei dati personali, e di conseguenza anche dell’utilizzo dei servizi cloud. In generale, per la disciplina europea, mentre la circolazione dei dati all’interno dello Spazio Economico Europeo è libera, i trasferimenti all’estero sono vietati, a meno che non si formino delle garanzie di conformità con la normativa del GDPR (art. 44 del GDPR).

L’esistenza di queste garanzie può essere certificata in tre modi: le decisioni di adeguatezza dell’Unione Europea, le clausole contrattuali standard e le norme vincolanti di impresa. Una decisione di adeguatezza coinvolge un’azione dell’Unione, e consiste nell’esame, da parte della Commissione Europea, della legislazione in materia di dati del Paese che lo richiede; se l’esito dell’esame è positivo, la decisione di adeguatezza certifica che il Paese terzo garantisce un livello di protezione dei dati adeguato a quello europeo, e quindi il trasferimento dei dati è ammesso. Pur essendo strumenti vincolanti, le decisioni di adeguatezza si possono modificare, sospendere o revocare.

Se non esiste una decisione di adeguatezza, le aziende UE possono procedere singolarmente ad inserire nei contratti con aziende estere delle clausole che offrono un livello di protezione dei dati adeguato, ovvero un soddisfacente livello di sicurezza e la tutela dei diritti degli interessati, con meccanismi di ricorso effettivi. Infine, solo nel caso di un gruppo d’impresa che abbia delle aziende al di fuori dello SEE, si possono far valere le binding corporate rules, ovvero le una serie di clausole che fissano i principi vincolanti per tutte le società appartenenti allo stesso gruppo.

La sentenza Schrems II: i problemi di adeguatezza nel Privacy Shield degli USA

La vicenda giudiziaria Schrems II (Corte UE, sentenza 16 luglio 2020 – C-311/18) rappresenta l’inizio delle controversie sul trasferimento dati dall’Unione agli USA. Al centro di questa controversia c’è l’attivista e avvocato austriaco Max Schrems, che da anni si batte contro il trasferimento dei dati degli utenti europei da parte di Facebook Ireland ai server di Facebook Inc. negli Stati Uniti, sostenendo che le leggi statunitensi non offrano sufficienti garanzie di protezione per la privacy dei cittadini europei. Da lui era stata portata avanti anche la controversa “Schrems I”, che nel 2015 aveva messo in discussione i meccanismi di trasferimento dati verso gli USA.

Facebook Ireland, dopo la sentenza Schrems I, aveva continuato a trasferire dati verso gli USA utilizzando clausole contrattuali standard, ma Schrems contestò anche questo approccio, portando il caso davanti alla High Court irlandese, che a sua volta sollevò una serie di domande alla Corte di Giustizia europea.

La principale questione riguardava l’applicabilità del GDPR ai trasferimenti di dati basati su clausole contrattuali standard e il livello di protezione richiesto; la CGUE stabilì che il GDPR si applica anche a tali trasferimenti e che il livello di protezione deve essere sostanzialmente equivalente a quello garantito nell’UE. Inoltre, le Autorità garanti privacy devono intervenire se le clausole contrattuali standard non possono garantire tale livello di protezione. Un altro aspetto importante riguardava la validità della Decisione 2010/87, che regolamenta le clausole contrattuali standard. La CGUE confermò la validità di questa decisione, sottolineando l’importanza dei meccanismi di garanzia della privacy e dell’obbligo di verifica del rispetto delle clausole contrattuali. La sentenza riguardava anche il Privacy Shield del 2016, un altro meccanismo di trasferimento di dati tra UE e USA che venne dichiarato invalido, citando le preoccupazioni riguardo le leggi statunitensi sulla protezione dei dati e l’assenza di rimedi giudiziali efficaci per i cittadini europei.

I dialoghi e il nuovo accordo EU-US Data Privacy Framework

Questa sentenza lascia dunque dei grandi interrogativi nella gestione dei flussi di dati UE-USA. Quasi immediatamente dopo la sentenza, con un comunicato congiunto del Commissario Europeo per la Giustizia Didier Reynders e del Segretario del Commercio U.S. Wilbur Ross, la Commissione europea e il governo degli Stati Uniti hanno avviato discussioni su un nuovo quadro che affrontasse le questioni sollevate dalla Corte. L’accordo sui principi per il nuovo quadro normativo, a seguito delle trattative, viene raggiunto nel 2022 e annunciato nel marzo 2022 dalla Presidente von der Leyen e dal Presidente Biden, che, ad ottobre, firma un decreto sul rafforzamento delle garanzie applicabili al trattamento dati dallo SEE agli USA (EU-US Data Privacy Framework). Passeranno comunque molti altri mesi prima che la Commissione emetta una decisione di adeguatezza, che arriverà infine il 10 luglio 2023.

Ciò che ha reso cruciale l’approvazione del DPF è stato l’impegno degli Stati Uniti a implementare riforme volte a rafforzare le protezioni delle libertà fondamentali e dei diritti, soprattutto per quanto riguarda le attività di intelligence e i relativi sistemi di allerta e segnalazioni. Questo impegno è stato sancito attraverso un ordine esecutivo firmato dal Presidente degli Stati Uniti, che ha condizionato e limitato l’accesso delle forze dell’ordine statunitensi ai dati personali provenienti dall’UE e ha istituito una procedura di ricorso indipendente per gestire i reclami dei cittadini europei riguardo agli accessi ai dati personali per scopi di sicurezza nazionale. 

A partire dal 10 luglio 2023, le società statunitensi che intendono offrire servizi connessi al trattamento di dati personali a entità europee possono aderire al DPF attraverso un processo di certificazione, impegnandosi a rispettare una serie di obblighi in materia di trattamento e protezione dei dati personali. È importante notare che non tutte le organizzazioni statunitensi possono aderire al DPF. Attualmente, solo le organizzazioni soggette alla giurisdizione della Federal Trade Commission (FTC) o del Dipartimento dei Trasporti degli Stati Uniti (DOT) possono partecipare al programma DPF. Tuttavia, vi sono diverse categorie di organizzazioni che non rientrano nella giurisdizione della FTC o del DOT e, in questi casi, le clausole contrattuali standard dovranno continuare a essere utilizzate per garantire la legittimità del trasferimento dei dati.

Anche per le imprese italiane, ci sono alcune azioni pratiche da intraprendere. Se un fornitore statunitense è certificato DPF, il trasferimento dei dati personali verso di esso sarà legittimo. Tuttavia, se il fornitore non è certificato o non intende aderire al DPF, l’azienda italiana dovrà rivedere gli accordi di protezione dei dati e le clausole contrattuali standard, assicurandosi che siano conformi ai requisiti del DPF. Inoltre, potrebbe essere necessario ripetere la valutazione di impatto del trasferimento per garantire la sicurezza e l’organizzazione del fornitore scelto.

Critiche e prospettive future

Sebbene l’accordo sia frutto di serrate trattative, queste ultime non sono scevre da critiche. L’accordo ha infatti suscitato reazioni contrastanti e sollevato quesiti sulla sua autentica validità e capacità di garantire la protezione dei dati personali dei cittadini europei. EDPB ha osservato, in una nota del 19 luglio 2023, che occorre monitorare attentamente il funzionamento pratico del meccanismo di ricorso e l’interpretazione dei principi di necessità e proporzionalità. Lo stesso Max Schrems ha dichiarato di avere pronto un nuovo ricorso alla CGUE, perché quest’ultima decisione di adeguatezza è uguale alle precedenti, nella sostanza. La stabilità del nuovo accordo, dunque, è già in bilico, ed è da valutare quanto riuscirà a reggere.

Hai un articolo nel cassetto? Legal Tech Magazine è sempre alla ricerca di nuove voci attraverso cui raccontare l’evoluzione del settore. Puoi sottoporci la tua proposta attraverso il seguente form: avremo cura di leggerla e di valutarne la pubblicazione.

Non solo un Magazine, ma anche una Mappa, un Forum, un Report e un’Academy. Se ti interessano i progetti di Legal Tech Italy e desideri ricevere aggiornamenti sulle sue iniziative presenti e future, iscriviti alla newsletter e non perderti nessuna novità.