Studio Legally
Via Grazioli 106 - Trento
Email: info@studiolegally.com
Telefono: +39 0461 233175
Alessia Antonia D'Alessio
21 Feb 2023

Privacy UE-USA: le tappe e lo stato dell’arte a febbraio 2023

Privacy​

Luglio 2020: La Corte di Giustizia europea (CGUE) invalida il “Privacy Shield” (l’accordo tra UE e USA in base al quale i dati personali dei cittadini europei potevano essere legittimamente trasferiti ad aziende con sede legale negli Stati Uniti). Tale decisione viene assunta in quanto le leggi di sorveglianza digitale degli Stati Uniti richiedono ai provider statunitensi (es. Google, Amazon, Facebook, ecc.) di fornire i dati personali dagli stessi ovunque raccolti alle autorità americane di intelligence su semplice richiesta e totalmente in chiaro. La Corte Europea ha ritenuto quindi che il trasferimento di dati personali di cittadini europei a fornitori statunitensi violi le regole sui trasferimenti internazionali di dati previste dal GDPR, in quanto il trattamento dei dati eseguito sul territorio statunitense, alla luce della legge americana, non fornisce le medesime garanzie di sicurezza previste all’interno dell’UE, e di conseguenza ha annullato l’accordo di trasferimento “Privacy Shield”, dopo aver annullato il precedente accordo “Safe Harbor” nel 2015.

Dicembre 2020: L’organizzazione no-profit Noyb propone a valle della decisione di adeguatezza del Privacy Shield, dinnanzi alle Autorità Garanti di tutta Europa (Italia compresa) ben 101 denunce per violazione della protezione dei dati personali contro 30 aziende europee per il trasferimento di dati personali dall’Europa verso società aventi sede negli USA (in particolare, ma non solo, Google e Facebook).

Dicembre 2021: il Garante austriaco, per primo in Europa, accoglie il reclamo presentato da Noyb ritenendo sussistente la violazione dell’art. 44 del GDPR da parte di un operatore austriaco titolare di un sito web, il quale utilizzava il servizio Google Analytics – il servizio di web analytics gratuito fornito da Google che consente di analizzare le statistiche sui visitatori di un sito web più comune ed utilizzato, non solo in Europa – acconsentendo al trasferimento di dati personali negli USA in assenza di una adeguata protezione, come invece richiede il Regolamento UE 2016/679 (cfr.  il nostro articolo sul blog https://studiolegally.com/blog/leredita-della-sentenza-schrems-ii-e-limpatto-sulla-realta-del-web-europeo-il-garante-privacy-austriaco-dichiara-illecito-per-difformita-al-gdpr-lutilizzo-del-servizio-di/)

Da quel momento in poi sono state numerose le denunce e la comminazione di sanzioni da parte delle diverse Authorities Privacy europee nei confronti dei siti che utilizzavano servizi made in USA finalizzati al trasferimento dei dati personali dei cittadini europei negli Stati Uniti.

Sorge quindi la fattiva esigenza di trovare un nuovo accordo USA – UE sul trasferimento dei dati, un vero e proprio “Privacy Shield 2.0”.

Marzo 2022: iniziano i negoziati per trovare un accordo politico. I punti cardine su cui si discute sono:

  • vincolare l’accesso ai dati personali, da parte delle autorità di intelligence USA, a quanto necessario e proporzionato per proteggere la sicurezza nazionale;
  • imporre alle agenzie di intelligence l’adozione di procedure finalizzate a garantire un controllo efficace dei nuovi standard in punto privacy;
  • introdurre un sistema di ricorso – anche giudiziario – efficace in caso di violazione delle garanzie di tutela dei dati condivise tra USA e UE da parte delle imprese USA in favore dei cittadini europei;
  • introdurre oneri specifici per le imprese USA, fra cui un processo di autocertificazione del rispetto dei nuovi principi condivisi tra USA e UE;
  • prevedere meccanismi di monitoraggio e revisione sul rispetto del nuovo assetto normativo privacy UE-USA.

Ad ottobre 2022 viene diffuso l’ «executive order»: gli USA restano tendenzialmente delle loro idee in fatto di intelligence, seppur si rendano disponibili a cambiare qualcosa in punto privacy. La forma del provvedimento scelto dalla Casa Bianca è quella di un ordine esecutivo e non di una legge: un intervento regolamentare più snello e veloce ma non autorevole come una legge.

L’executive order condivide alcuni principi propri del GDPR quali il riferimento alla necessità del trattamento, ai principi di minimizzazione e proporzionalità, al diritto dei cittadini europei a un ricorso per le ipotesi in cui sospettino una violazione della loro privacy, necessità per le agenzie di intelligence di più stringenti basi giuridiche prima di fare incetta di dati personali per varie finalità.

Dicembre 2022: la Commissione europea avvia il progetto Data Privacy Framework finalizzato all’adozione della decisione di adeguatezza del nuovo quadro privacy UE-USA, trasmesso per un parere all’European Data Protection Board (EDPB) (la decisione di adeguatezza rappresenta uno degli strumenti, ex art. 45 GDPR, per il trasferimento di dati personali verso un paese terzo senza dover richiedere specifiche autorizzazioni in tal senso).

ll progetto di decisione di adeguatezza rispecchia la valutazione della Commissione sul quadro giuridico in punto privacy profilato dall’executive order statunitense.

A parere della Commissione la nuova regolamentazione privacy configurata dal governo Biden è conforme al GDPR: ciò significa che i dati personali dei cittadini europei possono essere trasferiti in modo sicuro e legale negli USA.

Ottenuto il parere dell’EDPB la Commissione dovrà ottenere l’approvazione di un Comitato composto da rappresentanti degli Stati membri UE, pur restando sempre salvo il diritto di controllo e supervisione su quanto verrà deciso da parte del Parlamento europeo.

Completata tale procedura, la Commissione potrà quindi esprimersi in via definitiva adottando o meno la decisione finale di adeguatezza.

Entro un anno dall’adozione di tale decisione la Commissione Europea, le Autorità di controllo europee e quelle americane competenti, valuteranno il funzionamento del nuovo EU-USA Data Privacy Framework, verificando la piena attuazione e l’efficace funzionamento di tutte le misure volte a rafforzare le garanzie a tutela della protezione dei dati personali e delle libertà civili degli interessati adottate dagli Stati Uniti.

È prevista inoltre una revisione periodica del nuovo EU-USA Data Privacy Framework.

Si tratta certamente di un passaggio cruciale per uscire dall’impasse in cui i rapporti UE-USA si trovano da troppo tempo, necessario per pervenire finalmente all’approdo di una nuova regolamentazione privacy conforme al GDPR che legittimi il più sicuro trasferimento transfrontaliero di dati personali dei cittadini europei.

I motivi per cui la Commissione è propensa a ritenere adeguata la regolamentazione privacy basata sull’executive order di Biden è il fatto che la stessa mira ad introdurre una serie di salvaguardie per i dati personali degli interessati residenti negli Stati UE, limitando l’accesso a tali dati da parte delle agenzie di intelligence statunitensi e introducendo dei meccanismi che consentano agli interessati di proporre un ricorso indipendente.

Spetta alle altre istituzioni europee pronunciarsi seppure i tempi non siano ancora chiari; ci si aspetta un parere favorevole su quanto fatto sino ad adesso già in primavera in modo che, entro la fine del 2023, ottenuto il parere del Comitato degli Stati Membri, si possa finalmente mettere fine a tutte le questioni sulla legittimità del trattamento dei dati dei cittadini europei da parte dei grandi player americani.