Il 10/07/2023 la Commissione Europea ha annunciato di aver adottato la decisione di adeguatezza sul nuovo Data Privacy Framework EU-USA per la protezione dei dati personali trasferiti verso gli USA.
Dopo l’invalidamento della precedente decisione di adeguatezza sul Privacy Shield da parte della Corte di Giustizia dell’UE, ora i dati personali dovrebbero poter circolare in modo sicuro verso le imprese statunitensi sulla base della nuova decisione di adeguatezza.
Perché si è reso necessario un nuovo accordo UE-USA per il trasferimento di dati personali
Il trasferimento di dati di cittadini europei verso gli Stati Uniti è già stato oggetto di due accordi. In entrambi i casi, la Commissione Ue aveva giudicato adeguate le garanzie offerte da tali accordi, affermando che gli USA garantissero un livello di protezione dei dati personali sostanzialmente equivalente a quello imposto dall’UE ai propri Stati Membri.
Tuttavia, i giudizi di adeguatezza della Commissione sono stati invalidati dalla Corte di Giustizia UE che, contrariamente alla Commissione, non ha ritenuto adeguate le garanzie offerte dalla legislazione statunitense. Così, con sentenza del 2015 (causa C-362/14, c.d. Schrems I) è stata invalidata la prima decisione di adeguatezza (c.d. Safe Harbor del 2000) e successivamente, con sentenza del 2020 (causa C-311/18, c.d. Schrems II), è stata invalidata anche la decisione di adeguatezza relativa al Privacy Shield (ne abbiamo parlato in questo articolo), ossia all’accordo approvato nel 2016 per colmare il vuoto lasciato dall’invalidazione di Safe Harbor.
Le motivazioni espresse nelle due sentenze della Corte di Giustizia UE erano in gran parte simili. In sintesi, la Corte UE ha evidenziato come le agenzie di intelligence americane, in forza delle leggi di sorveglianza vigenti oltreoceano, possano accedere con facilità ai dati dei cittadini europei, mentre ai cittadini europei non è consentito ricorrere ad un’autorità garante della privacy per chiedere tutela in caso di violazione dei loro diritti.
Il nuovo Privacy Framework EU-USA introduce nuove garanzie vincolanti a tutela dei cittadini europei, come la limitazione dell’accesso ai dati da parte dei servizi di intelligence statunitensi a quanto ritenuto “necessario e proporzionato”. Queste nuove garanzie in materia di accesso ai dati varranno anche per le imprese statunitensi che importano dati dall’UE.
Viene istituito anche un tribunale del riesame in materia di protezione dei dati (Data Protection Review Court, DPRC) al quale potranno ricorrere i cittadini dell’UE che riterranno violati i propri diritti.
Come affermato dalla Presidente della Commissione, Ursula von der Leyen:
“Il nuovo quadro UE-USA per la protezione dei dati personali garantirà flussi di dati sicuri per i cittadini europei e apporterà certezza giuridica alle imprese su entrambe le sponde dell’Atlantico”.
Il nuovo quadro UE-USA reggerà di fronte alla Corte di Giustizia?
Particolari perplessità sono state espresse soprattutto con riferimento alla formulazione del nuovo limite alla attività di intelligence delle agenzie americane, che dovrà essere “proporzionato”: dato che non è stato possibile accordarsi sul significato del termine “proporzionato”, l’introduzione di questa parola potrebbe non rappresentare affatto una garanzia per i cittadini europei.
Tuttavia, l’auspicio è che il nuovo Privacy Framework sia finalmente la risposta alle esigenze di stabilità e sicurezza degli utenti europei e degli operatori del mercato mondiale.
Ilaria Feriti