Trasferimento di dati UE-USA: cosa sta succedendo?
Ć di alcuni giorni fa la notizia, apparsa sul quotidiano āNew York Timesā, che alcuni membri del āPrivacy and Civil Liberties Oversight Boardā (āAutoritĆ per la tutela della vita privata e delle libertĆ civiliā) ā lāorganismo statunitense a cui sono attribuite competenze nel settore delle politiche antiterrorismo, al fine di tutelare la vita privata e le libertĆ civili ā hanno ricevuto unāespressa richiesta formulata dal governo in carica di recedere dal proprio incarico: si tratta, nello specifico, di un invito diretto a tre dei cinque membri di tale organismo (tutti di nomina democratica).
A ciĆ² si aggiunga che il presidente Trump, in uno dei propri primi āexecutive ordersā, aveva stabilito che tutte le decisioni precedentemente assunte dal presidente uscente (ivi incluse quelle che avevano concorso al EU-US Data Privacy Framework) sarebbero state riviste e ove possibile sostituite. Anche questa notizia, unita alla precedente, potrebbe comportare effetti idonei ad incidere sullāimpianto complessivo, che aveva originariamente consentito di approdare al āTrans-Atlantic Data Privacy Frameworkā e alla relativa decisione di adeguatezza da parte della Commissione Europea.
Inutile evidenziare che le notizie sopra riportate, sul fronte dei rapporti UE-USA, con particolare ma non esclusivo riferimento agli aspetti connessi alla data protection, sono tali da destare non poca preoccupazione, rischiando di provocare effetti destabilizzanti nei rapporti commerciali che coinvolgono in primo luogo le imprese, sul fronte dei trasferimenti di dati personali.
Trasferimento di dati: breve inquadramento storico-normativo dei rapporti UE ā USA
La storia dei rapporti tra Unione Europea e Stati Uniti quanto al tema del trasferimento di dati ĆØ abbastanza risalente.
Non va dimenticato, infatti, che la Corte di Giustizia si era giĆ espressa sia in merito al precedente accordo āSafe Harbourā del 2000, sia in merito al successivo āPrivacy Shield Frameworkā del 2016, invalidando entrambi per incompatibilitĆ con la normativa UE e in particolare a causa della non conformitĆ e adeguatezza del sistema normativo statunitense (con specifico riferimento alle disposizioni volte a regolamentare la sorveglianza governativa sui dati personali)Ā alle norme europee sulla protezione dei dati.
Nel 2023 il āData Privacy Frameworkā ha sostituito il precedente Privacy Shield Framework e il 10 luglio 2023 la Commissione Europea si era pronunciata, esprimendo la propria decisione di adeguatezza (Decisione di esecuzione (UE) 2023/1795 della Commissione del 10 Luglio 2023 a norma del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio sul livello di protezione adeguato dei dati personali nellāambito del quadro UE-USA per la protezione dei dati personali).
Ć significativo rilevare che, nella propria decisione, la Commissione aveva fatto plurime volte riferimento al āPrivacy and Civil Liberties Oversight Boardā, evidenziandone lāoperativitĆ e le competenze.
Nello specifico, la Commissione aveva sottolineato come gli enti di intelligence fossero soggetti al controllo del āPrivacy and Civil Liberties Oversight Boardā, rilevando come, per controllare tali enti, tale organismo avesse āfacoltĆ di accedere a tutti i dati, le relazioni, le verifiche, i documenti, le carte e le raccomandazioni dellāente interessato, comprese le informazioni classificate, di procedere ad interrogatori e di assumere testimonianzeā: come si vede, ne venivano specificate le attivitĆ di intervento ed il relativo ambito operativo, descritto in termini sufficientemente ampi, da concorrere a supportare la decisione a livello UE, in merito al fatto che la realtĆ statunitense era tale da āgarantire un livello di protezione dei dati personali trasferiti dallāUnione alle organizzazioni certificate negli Stati Uniti nellāambito del quadro UE-USA per la protezione dei dati personali āsostanzialmente equivalenteā a quello garantito dal GDPRā
Merita, altresƬ, di essere considerato che, oltre a tale organismo, erano previsti anche meccanismi di ricorso, in forza dei quali le persone potevano promuovere un reclamo agli addetti alla tutela della vita privata e delle libertĆ civili in seno alle attivitĆ di contrasto.
In sintesi, con lāinvio delle lettere di invito alle dimissioni ai tre membri del āPrivacy and Civil Liberties Oversight Boardā occorrerĆ verificare quali saranno gli sviluppi dellāimpalcatura originariamente congegnata, quanto ai trasferimenti di dati, su cui si era basata la legittimitĆ dei flussi di dati UE-USA.
A ciĆ² si aggiunga che, nella stessa decisione di adeguatezza ĆØ indicato che la Commissione ĆØ, comunque, tenuta a monitorare costantemente gli sviluppi nel paese terzo registrati dopo lāadozione di una decisione di adeguatezza, al fine di valutare se il paese terzo continui a garantire un livello di protezione sostanzialmente equivalente, con lāulteriore specificazione dellāobbligatorietĆ di tale verifica nei casi in cui la Commissione riceva informazioni che facciano sorgere un dubbio giustificato al riguardo (come potrebbe essere nel caso in questione). Ā
Gli effetti sullāoperativitĆ delle imprese europee nel trasferimento di dati UE-USA
Va evidenziato che, allo stato attuale, la Commissione Europea non si ĆØ ancora pronunciata, nĆ© altre autoritĆ o istituzioni europee hanno fornito indicazioni ufficiali. Vi ĆØ, pertanto, al momento unicamente una situazione di incertezza e di attesa.
Certamente, nel caso in cui si dovesse pervenire ad una decisione di āNONā adeguatezza, gli effetti che si produrrebbero potrebbero essere i seguenti:
- – i rapporti con i principali fornitori di cloud statunitensi ne risentirebbero: i soggetti che abitualmente vi fanno ricorso potrebbero dover interrompere la fornitura di tali servizi o, in alternativa, individuare norme o modalitĆ diverse, comunque da concordare, per poter garantire il rispetto della normativa europea;
- – le imprese operanti a livello internazionale dovrebbero valutare il ricorso a modalitĆ alternative per legittimare il trasferimento di dati: essenzialmente, in mancanza di una decisione di adeguatezza, le imprese potrebbero valutare di fondare e regolamentare il proprio trasferimento di dati attraverso Clausole Contrattuali Standard o le cc.dd. Binding Corporate Rules, in presenza di gruppi imprenditoriali.
Ā
Trasferimento di dati: alcune considerazioni conclusive
Come rilevato dal Garante per la Protezione dei Dati Personali, in un intervento specifico su tale tema da parte di uno dei propri componenti (Ghiglia), la questione del trasferimento di dati UE-USA non riguarda solo il commercio, ma tocca aspetti centrali della sovranitĆ digitale dellāEuropa.
Va rilevato, infatti, che i dati personali, non solo meritano una particolare considerazione da parte del legislatore, in quanto riconosciuti come diritto fondamentale, ma posseggono un inequivocabile valore strategico: ogni utilizzo non corretto, improprio o abusivo rischia di ledere non solo la privacy e il diritto alla protezione dei dati personali delle persone fisiche, ma puĆ² avere anche effetti negativi ulteriori, come influenzare decisioni politiche o alterare dinamiche di mercato.
Lāeventuale revoca dellāincarico dei componenti dellāorganismo āPrivacy and Civil Liberties Oversight Boardā con il conseguente rischio di adozione di una decisione di NON adeguatezza da parte della Commissione Europea potrebbe indurre le istituzioni europee a trasformare una condizione di crisi in opportunitĆ . In sintesi, quanto sopra, dovrebbe far riflettere in merito allāindividuazione e adozione di tecnologie europee e di fornitori di servizi cloud locali adeguatamente strutturati, che possano rappresentare una valida opportunitĆ per le imprese UE sul tema del trasferimento dei dati, in tal modo riducendo i rischi connessi alla dipendenza da fornitori/piattaforme extra UE, non necessariamente solo statunitensi.
Quanto sopra, dovrebbe essere preso in considerazione ancor piĆ¹ con riferimento allo sviluppo e allāadozione di sistemi di Intelligenza Artificiale, destinati ad avere un impatto significativo, anche lato data protection.
