Il trasferimento dei dati personali tra l’Unione Europea e gli Stati Uniti, che sembrava avviato verso una soluzione condivisa, non trova pace: il 14 febbraio 2023, la Commissione per le libertà civili, la giustizia e gli affari interni del Parlamento Europeo ha dato parere contrario alla bozza di decisione di adeguatezza sull’accordo che il 13 dicembre scorso la Commissione europea aveva pubblicato.
Indice
1. La bozza del Privacy Shield
Già da molti definito come Privacy Shield 2.0, la bozza di decisione seguiva l’emissione di un Ordine esecutivo del Presidente Biden e gli accordi da questi raggiunti con Ursula Von Der Leyen nel marzo 2022.
I motivi della bocciatura parlamentare sono tre:
- Da un lato, l’interpretazione dei concetti di proporzionalità e necessità menzionati nell’ordine esecutivo americano non sarebbero in linea con gli analoghi principi statuiti e sanciti dal GDPR, che, come noto, è la legge di riferimento per il trattamento e la protezione dei dati personali da questa parte dell’Atlantico;
- Secondariamente, non sarebbe stato previsto che le decisioni prese dalla Data Protection Review Court (DPRC, l’apposita Autorità che l’Unione Europea aveva ipotizzato per esaminare e decidere sui reclami presentati dai cittadini europei sul trattamento dei loro dati svolto oltre Oceano) siano pubbliche ed in generale non sarebbero assicurati adeguati meccanismi di tutela e trasparenza per i cittadini;
- Infine, non esiste a tutt’oggi una Corte federale per la protezione dei Dati, a differenza di tutti gli altri destinatari delle decisioni di adeguatezza della Commissione europea.
Per queste ragioni, il Parlamento ha bocciato la decisione ed ha espressamente chiesto alla Commissione di non adottarne di nuove, fino a che non siano introdotti correttivi significativi e riforme in merito alla delicata materia del trattamento dei dati, in particolare con riferimento al tema scottante della sicurezza nazionale, in nome della quale negli USA è concessa, sostanzialmente, carta bianca al Governo federale per quanto riguarda il trattamento dei dati dei cittadini, compresi quelli europei.
Potrebbero interessarti anche
2. Che cos’è una decisione di adeguatezza?
Una decisione di adeguatezza della Commissione Europea in materia di protezione dei dati rappresenta uno degli strumenti previsti dall’art. 45 del Reg. UE 679/2016 (GDPR) per consentire il trasferimento dei dati al di fuori dello spazio economico europeo, verso un Paese terzo.
Si tratta, in pratica, della valutazione che la Commissione compie sugli standard relativi alla protezione dei dati e sulla normativa privacy del Paese destinatario: se la Commissione reputa che in quel particolare Paese la protezione dei dati sia adeguata agli standard (elevatissimi) del GDPR, il trasferimento è consentito. Diversamente, il Titolare basato nell’Unione Europea e che tratta i dati di cittadini dell’Unione non può effettuare il trasferimento.
Il progetto che ha portato alla bozza di decisione oggetto di bocciatura ha valutato le garanzie relative alla raccolta e trattamento dei dati trasferiti negli Stati Uniti, in particolare esaminando la sussistenza di diritti equivalenti a quelle stabiliti dal GDPR, come si è visto con riferimento espresso all’utilizzo dei dati da parte del Governo federale per ragioni di sicurezza nazionale, un concetto astratto, politico prima ancora che giuridico, e di complessa definizione, tanto complessa da essere oggetto di analisi approfondita da parte della Corte di Giustizia dell’Unione Europea nella famosa sentenza Schrems II, che ha annullato il privacy shield, dando origine alla tematica del trasferimento transoceanico.
3. Il trasferimento dei dati UE-USA: un iter travagliato
Il 6 ottobre 2015 la Corte di giustizia dell’Unione europea, infatti, ha dichiarato l’illegittimità della Decisione 520/2000/CE della Commissione che riconosceva l’adeguatezza del sistema basato sul cosiddetto Safe Harbour, cioè il primo accordo sul trasferimento dei dati tra UE e USA.
Successivamente, con la citata sentenza Schrems II, la stessa Corte ha dichiarato altresì invalida la decisione 2016/1250 sull’adeguatezza del secondo accordo tra Unione e Stati Uniti, il cosiddetto Privacy shield, rendendo di fatto illecito effettuare detto trasferimento (con le conseguenze ben note in ambito utilizzo di sistemi informatici e di tracciamento, quali ad esempio Google Analytics).
In entrambe le decisioni la Corte si è pronunciata ritenendo che la normativa statunitense sull’accesso ai dati da parte delle Autorità non fosse compatibile con i principi del GDPR e che non tutelasse a sufficienza i diritti e le libertà fondamentali degli interessati.
A seguito della pronuncia di invalidità del privacy shield, dunque, siamo in attesa di un nuovo accordo sul trasferimento tra UE e USA e conseguentemente di una decisione di adeguatezza. La mancanza di tale decisione, infatti, rende particolarmente difficili i rapporti commerciali tra le due sponde dell’Atlantico, con conseguenze pregiudizievoli per migliaia di imprese.
Nel marzo scorso, Biden e Von Der Leyen avevano pubblicato un comunicato stampa congiunto annunciando un’intesa di principio su un nuovo accordo quadro sul trasferimento dei dati dall’UE agli USA, noto come Trans-Atlantic Data Privacy Framework, che avrebbe dovuto recepire le argomentazioni della Corte di Giustizia attuando garanzie più stringenti sull’accesso e sull’utilizzo dei dati da parte dei cittadini UE da parte delle autorità federali americane: meno potere, meno sorveglianza, e più vigilanza sull’operato delle autorità, oltre alla previsione della già citata Data Protection Review Court, una nuova procedura a due livelli per l’esame e la risoluzione dei reclami presentati dai cittadini europei sull’utilizzo dei loro dati in America.
Purtroppo, nonostante il successivo ordine esecutivo del Presidente USA e l’avvio del processo di adozione di una decisione di adeguatezza da parte della Commissione Europea, sembra che ci sia ancora molta strada da fare, vista la recente bocciatura del parlamento Europeo.
Tutto da rifare dunque, sperando che arrivi presto lo scioglimento di questo nodo che a questo punto diventa essenziale per il business di migliaia di imprese sia da un lato sia dall’altro dell’Oceano.
Volume consigliato
La nuova privacy
Dopo l’applicabilità definitiva del GDPR, il legislatore nazionale ha adottato il D.Lgs. n. 101/2018, che ha abrogato, modificato e rinnovato numerose disposizioni del “nostro” Codice Privacy (D.Lgs. n. 196/2003). Questa guida fa il punto sulle novità e chiarisce quali sono, allo stato attuale, gli adempimenti che imprese, studi professionali e Pubblica Amministrazione sono chiamati a porre in essere, al fine di mettersi in regola con la nuova normativa, evitando così pesanti sanzioni. Argomenti trattati:• L’ambito di applicazione del GDPR • I concetti essenziali: il dato personale, la persona fisica identi- ficata e identificabile ed il trattamento • I principi per il trattamento dei dati personali • Le figure sog- gettive • Il trattamento dei dati personali • La trasparenza e l’informativa all’interessato • Il registro delle attività di trattamento • I diritti dell’interessato • La protezione dei dati fin dalla progettazione (privacy by design) • La protezione per impostazione predefinita (privacy by default ) • Le misure tecniche ed organizzative adeguate • Il trasferimento dei dati all’estero • La notifica della violazione dei dati personali • La valutazione di impatto sulla protezione dei dati e la consultazione preventiva dell’Autorità di Controllo • I codici di condotta e i meccanismi di certificazione • Le istituzioni • Forme di tutela • Le sanzioni • Le principali disposizioni transitorie e finali previste dal D.Lgs. n. 101/2018.LA NUOVA PRIVACYGli adempimenti per imprese, professionisti e P.A.dopo il decreto di adeguamento al GDPR (D.Lgs. n. 101/2018) NADIA ARNABOLDIDottore in Economia e Commercio, Dottore Commercialista (sezione A, n. 278), Revisore Contabile (n. 102461), co- ordinatrice della Commissione “Privacy, 231 ed antiriciclaggio” dell’Ordine dei Dottori Commercialisti ed Esperti Contabili di Pavia. Consulente Tecnico d’Ufficio (CTU) presso il Tribunale di Pavia in materia protezione dei dati personali. Riconosciuta “Fellow of Information Privacy (FIP)” dall’International Association Privacy Professionals (IAPP) e “Thought Leader in Privacy” da DataGuidance. Possiede le certificazioni internazionali Certified Information Privacy Professional Europe (CIPP/E), Certified Information Privacy Professional United States (CIPP/US) e Certified Information Privacy Manager (CIPM), ANSI/ISO standard 17024:2012. Nadia è Auditor/Lead Auditor ISO/IEC 27001:2013, European Privacy Auditor ISDP©10003:2015 e Auditor Database & Privacy Management SGCMF©10002:2013, PRD UNI EN ISO/IEC 17065:2012. Ha maturato una pluriennale esperienza presso primari Studi legali internazionali di Milano, è titolare dello Studio Arnaboldi dal 2004 e svolge attività di consulenza specialistica a società nazionali e multinazionali ed enti in materia di protezione dei dati personali, diritto delle nuove tecnologie, conservazione e processi documentali. Selezionata quale esperto indipendente per assistenza alla Commissione Europea, DG Home Affairs e DG Justice, in materia di Giustizia, Libertà e Sicurezza, Programma “Diritti Fondamentali e Giustizia – Protezione dei Dati Perso- nali” (2007/S 140-172522), ed inclusa nella lista di esperti per assistere la Commissione Europea nell’ambito del Programma Giustizia e del Programma Diritti, Uguaglianza e Cittadinanza (2014-2020). Componente dei gruppi di lavoro internazionali di DataGuidance “Global Data Breach Notification – At a Glance table” e “Pharmacovigilance at-a-glance advisory”, autrice dell’Advisory Note in materia di diritto farmaceutico e delle Advisory Notes su nuove tematiche in materia di protezione dei dati personali pubblicate in “Privacy this Week”. Contributor delle riviste mensili “Digital eHealth legal” (già eHealth Law & Policy) e “Data Protection Leader” (già Data Protection Law & Policy) edite da Cecile Park Publishing (CPP). Docente di corsi di formazione ed autrice di articoli specialistici e monografie in materia di protezione dei dati personali. Componente del Comitato Direttivo e coordinatrice del Comitato Scientifico dell’Associazione italiana dei Data Protection Officer (ASSO DPO).
Nadia Arnaboldi | Maggioli Editore 2018
Scrivi un commento
Accedi per poter inserire un commento