È in vigore il nuovo accordo USA-UE sul trasferimento dei dati personali degli europei

Dopo una lunga attesa il Data Privacy Framework, un nuovo accordo USA UE sul trasferimento dei dati personali, è finalmente arrivato.

Lunedì 10 luglio 2023 la Commissione Europea ha adottato, infatti, una decisione di adeguatezza che, in breve, assicura che quello offerto dagli Stati Uniti ai dati personali dei cittadini europei sia un livello di protezione adeguato alle previsioni del GDPR.

Cosa ha reso necessario un nuovo accordo USA UE sul trasferimento dei dati personali

La decisione consente la ripresa del trasferimento dei dati oltreoceano, bloccato in questi anni da due sentenze della Corte di Giustizia dell’Unione Europa – le sentenze cosiddette “Schrems I” e “Schrems II” – che di fatto invalidavano il quadro normativo precedentemente in vigore sulla materia.

Privacy Shield prima e Safe Harbor poi, come si chiamavano gli accordi che USA e UE avevano in passato per l’interscambio di dati personali dei cittadini europei, non offrivano abbastanza garanzie quanto al trattamento conforme degli stessi. Il dubbio era in particolare che, quando trasferiti su database e server americani, i dati fossero accessibili alle agenzie di intelligence statunitensi e che le ultime li usassero indebitamente per operazioni di sicurezza pubblica, cybersorveglianza e warfare.

A risentire dell’assenza di un quadro normativo chiaro sono state soprattutto le big tech e più in generale le aziende americane che trattano dati – anche di cittadini e persone giuridiche europei – a scopo commerciale. A più riprese negli ultimi anni Meta ha minacciato di non poter assicurare l’operatività in Europa dei propri servizi di punta, Facebook e Instagram, in mancanza di un accordo USA UE sul trasferimento dei dati personali e c’è anche questo tra i motivi per cui il nuovo Threads non è ancora disponibile in Europa. Per ragioni simili gli addetti ai lavori hanno dubitato a lungo  della conformità al GDPR delle versioni più recenti di Google Analytics e della loro utilizzabilità in Europa senza rischiare sanzioni.

Cosa prevede il nuovo Data Privacy Framework

Il nuovo accordo USA UE sul trasferimento dei dati personali, che come ha ricordato la Presidente della Commissione Europea Ursula von der Leyen è solo l’ultimo «passo importante»¹ di un dialogo in corso da anni con l’amministrazione Biden, applica un principio cardine del GDPR qual è quello della proporzionalità anche al trasferimento verso e al trattamento dei dati personali da parte di soggetti di paesi terzi.

Il Data Privacy Framework prevede in particolare che le agenzie governative e di sicurezza americane possano accedere ai dati dei cittadini europei solo in misura limitata e proporzionata allo scopo per cui lo fanno.

Il dubbio che resta agli occhi di alcuni addetti ai lavori e attivisti per i diritti digitali come quelli di noyb è come gli Stati Uniti potranno interpretare l’aggettivo “proporzionato”. Il nuovo accordo USA UE sul trasferimento dei dati personali rischia, cioè, di essere poco più che una fotocopia delle normative precedenti² e per questo altrettanto poco efficace, tanto che l’avvocato e attivista Max Schrems ha già fatto sapere di voler ricorrere nuovamente entro la fine dell’estate davanti alla Corte di Giustizia europea³.

Come, quanto e in che circostanze le autorità pubbliche possono accedere ai dati dei cittadini europei trattati negli Stati Uniti non è comunque l’unica questione di cui si occupa il Data Privacy Framework.

Una buona fetta delle previsioni riguardano le aziende che trattano per scopi commerciali i dati personali dei cittadini europei: per poterli trasferire oltreoceano queste dovranno innanzitutto sottoscrivere il nuovo accordo, impegnandosi in questo modo a rispettare obblighi e standard elevati in materia di privacy. Oltre a raccogliere dati in misura proporzionale, le aziende dovranno assicurarne la cancellazione quando non risultano più necessari e garantire, se li condividono con terze parti, la continuità della protezione, ossia che anche le ultime trattino i dati in maniera conforme alle previsioni europee sulla privacy.

Forse la vera novità introdotta dal Data Privacy Network è, però, quella della Data Protection Review Court (DPRC): si tratta di una sorta di tribunale del riesame a cui si potrà fare ricorso in caso di dubbi su come aziende o agenzie americane trattano i dati personali degli europei. Le misure adottate dalla DPRC, che potrà imporre per esempio la cancellazione forzosa dei dati ottenuti o trattati in maniera non conferme, saranno vincolanti e l’organo godrà soprattutto di una certa indipendenza rispetto alle altre autorità americane. Come hanno fatto notare ancora gli attivisti di noyb, i cittadini europei non potranno rivolgersi alla DPCR in autonomia ma solo tramite le autorità garanti per la privacy dei diversi paesi e questo rischia di far allungare iter e tempi per giungere a una risoluzione effettiva delle controversie.

Già tra un anno servirà rivedere il Data Privacy Framework

La Commissione ha previsto comunque uno strumento di correzione di eventuali storture e lungaggini, come queste, che potrebbero verificarsi nell’applicazione del nuovo accordo USA UE sul trasferimento dei dati personali.

L’accordo stesso e i suoi effetti concreti andranno sottoposti a riesami periodici da parte sia della Commissione e dei garanti privacy europei e sia delle autorità americane competenti.

Il primo dovrebbe avvenire entro un anno dall’entrata in vigore ufficiale (11 luglio 2023) del Data Privacy Framework.