Trasferimento di dati UE-USA: cosa sta succedendo?
È di alcuni giorni fa la notizia, apparsa sul quotidiano “New York Times”, che alcuni membri del “Privacy and Civil Liberties Oversight Board” (“Autorità per la tutela della vita privata e delle libertà civili”) – l’organismo statunitense a cui sono attribuite competenze nel settore delle politiche antiterrorismo, al fine di tutelare la vita privata e le libertà civili – hanno ricevuto un’espressa richiesta formulata dal governo in carica di recedere dal proprio incarico: si tratta, nello specifico, di un invito diretto a tre dei cinque membri di tale organismo (tutti di nomina democratica).
A ciò si aggiunga che il presidente Trump, in uno dei propri primi “executive orders”, aveva stabilito che tutte le decisioni precedentemente assunte dal presidente uscente (ivi incluse quelle che avevano concorso al EU-US Data Privacy Framework) sarebbero state riviste e ove possibile sostituite. Anche questa notizia, unita alla precedente, potrebbe comportare effetti idonei ad incidere sull’impianto complessivo, che aveva originariamente consentito di approdare al “Trans-Atlantic Data Privacy Framework” e alla relativa decisione di adeguatezza da parte della Commissione Europea.
Inutile evidenziare che le notizie sopra riportate, sul fronte dei rapporti UE-USA, con particolare ma non esclusivo riferimento agli aspetti connessi alla data protection, sono tali da destare non poca preoccupazione, rischiando di provocare effetti destabilizzanti nei rapporti commerciali che coinvolgono in primo luogo le imprese, sul fronte dei trasferimenti di dati personali.
Trasferimento di dati: breve inquadramento storico-normativo dei rapporti UE – USA
La storia dei rapporti tra Unione Europea e Stati Uniti quanto al tema del trasferimento di dati è abbastanza risalente.
Non va dimenticato, infatti, che la Corte di Giustizia si era già espressa sia in merito al precedente accordo “Safe Harbour” del 2000, sia in merito al successivo “Privacy Shield Framework” del 2016, invalidando entrambi per incompatibilità con la normativa UE e in particolare a causa della non conformità e adeguatezza del sistema normativo statunitense (con specifico riferimento alle disposizioni volte a regolamentare la sorveglianza governativa sui dati personali) alle norme europee sulla protezione dei dati.
Nel 2023 il “Data Privacy Framework” ha sostituito il precedente Privacy Shield Framework e il 10 luglio 2023 la Commissione Europea si era pronunciata, esprimendo la propria decisione di adeguatezza (Decisione di esecuzione (UE) 2023/1795 della Commissione del 10 Luglio 2023 a norma del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio sul livello di protezione adeguato dei dati personali nell’ambito del quadro UE-USA per la protezione dei dati personali).
È significativo rilevare che, nella propria decisione, la Commissione aveva fatto plurime volte riferimento al “Privacy and Civil Liberties Oversight Board”, evidenziandone l’operatività e le competenze.
Nello specifico, la Commissione aveva sottolineato come gli enti di intelligence fossero soggetti al controllo del “Privacy and Civil Liberties Oversight Board”, rilevando come, per controllare tali enti, tale organismo avesse “facoltà di accedere a tutti i dati, le relazioni, le verifiche, i documenti, le carte e le raccomandazioni dell’ente interessato, comprese le informazioni classificate, di procedere ad interrogatori e di assumere testimonianze”: come si vede, ne venivano specificate le attività di intervento ed il relativo ambito operativo, descritto in termini sufficientemente ampi, da concorrere a supportare la decisione a livello UE, in merito al fatto che la realtà statunitense era tale da “garantire un livello di protezione dei dati personali trasferiti dall’Unione alle organizzazioni certificate negli Stati Uniti nell’ambito del quadro UE-USA per la protezione dei dati personali “sostanzialmente equivalente” a quello garantito dal GDPR”
Merita, altresì, di essere considerato che, oltre a tale organismo, erano previsti anche meccanismi di ricorso, in forza dei quali le persone potevano promuovere un reclamo agli addetti alla tutela della vita privata e delle libertà civili in seno alle attività di contrasto.
In sintesi, con l’invio delle lettere di invito alle dimissioni ai tre membri del “Privacy and Civil Liberties Oversight Board” occorrerà verificare quali saranno gli sviluppi dell’impalcatura originariamente congegnata, quanto ai trasferimenti di dati, su cui si era basata la legittimità dei flussi di dati UE-USA.
A ciò si aggiunga che, nella stessa decisione di adeguatezza è indicato che la Commissione è, comunque, tenuta a monitorare costantemente gli sviluppi nel paese terzo registrati dopo l’adozione di una decisione di adeguatezza, al fine di valutare se il paese terzo continui a garantire un livello di protezione sostanzialmente equivalente, con l’ulteriore specificazione dell’obbligatorietà di tale verifica nei casi in cui la Commissione riceva informazioni che facciano sorgere un dubbio giustificato al riguardo (come potrebbe essere nel caso in questione).
Gli effetti sull’operatività delle imprese europee nel trasferimento di dati UE-USA
Va evidenziato che, allo stato attuale, la Commissione Europea non si è ancora pronunciata, né altre autorità o istituzioni europee hanno fornito indicazioni ufficiali. Vi è, pertanto, al momento unicamente una situazione di incertezza e di attesa.
Certamente, nel caso in cui si dovesse pervenire ad una decisione di “NON” adeguatezza, gli effetti che si produrrebbero potrebbero essere i seguenti:
- – i rapporti con i principali fornitori di cloud statunitensi ne risentirebbero: i soggetti che abitualmente vi fanno ricorso potrebbero dover interrompere la fornitura di tali servizi o, in alternativa, individuare norme o modalità diverse, comunque da concordare, per poter garantire il rispetto della normativa europea;
- – le imprese operanti a livello internazionale dovrebbero valutare il ricorso a modalità alternative per legittimare il trasferimento di dati: essenzialmente, in mancanza di una decisione di adeguatezza, le imprese potrebbero valutare di fondare e regolamentare il proprio trasferimento di dati attraverso Clausole Contrattuali Standard o le cc.dd. Binding Corporate Rules, in presenza di gruppi imprenditoriali.
Trasferimento di dati: alcune considerazioni conclusive
Come rilevato dal Garante per la Protezione dei Dati Personali, in un intervento specifico su tale tema da parte di uno dei propri componenti (Ghiglia), la questione del trasferimento di dati UE-USA non riguarda solo il commercio, ma tocca aspetti centrali della sovranità digitale dell’Europa.
Va rilevato, infatti, che i dati personali, non solo meritano una particolare considerazione da parte del legislatore, in quanto riconosciuti come diritto fondamentale, ma posseggono un inequivocabile valore strategico: ogni utilizzo non corretto, improprio o abusivo rischia di ledere non solo la privacy e il diritto alla protezione dei dati personali delle persone fisiche, ma può avere anche effetti negativi ulteriori, come influenzare decisioni politiche o alterare dinamiche di mercato.
L’eventuale revoca dell’incarico dei componenti dell’organismo “Privacy and Civil Liberties Oversight Board” con il conseguente rischio di adozione di una decisione di NON adeguatezza da parte della Commissione Europea potrebbe indurre le istituzioni europee a trasformare una condizione di crisi in opportunità. In sintesi, quanto sopra, dovrebbe far riflettere in merito all’individuazione e adozione di tecnologie europee e di fornitori di servizi cloud locali adeguatamente strutturati, che possano rappresentare una valida opportunità per le imprese UE sul tema del trasferimento dei dati, in tal modo riducendo i rischi connessi alla dipendenza da fornitori/piattaforme extra UE, non necessariamente solo statunitensi.
Quanto sopra, dovrebbe essere preso in considerazione ancor più con riferimento allo sviluppo e all’adozione di sistemi di Intelligenza Artificiale, destinati ad avere un impatto significativo, anche lato data protection.
