Il 10 luglio la Commissione europea ha annunciato di aver adottato la decisione di adeguatezza sul quadro UE-USA per la protezione dei dati personali. La decisione, ha dichiarato la Commissione, giunge alla conclusione che gli Stati Uniti garantiscono un livello di protezione adeguato – comparabile a quello dell’Unione europea – per i dati personali trasferiti dall’UE alle imprese statunitensi nell’ambito del nuovo quadro.
Sulla base della nuova decisione di adeguatezza, la Commissione europea ha sottolineato che i dati personali possono circolare in modo sicuro dall’UE verso le imprese statunitensi che partecipano al quadro, senza la necessità di ulteriori garanzie per la protezione dei dati.
Il quadro UE-USA per la protezione dei dati personali introduce nuove garanzie vincolanti per far fronte a tutte le preoccupazioni espresse dalla Corte di giustizia dell’Unione europea, tra cui la limitazione dell’accesso ai dati dell’UE da parte dei servizi di intelligence statunitensi a quanto necessario e proporzionato e l’istituzione di un tribunale del riesame in materia di protezione dei dati (Data Protection Review Court, DPRC), accessibile ai cittadini dell’UE.
Il nuovo quadro – aggiunge la Commissione europea – introduce miglioramenti significativi rispetto al meccanismo esistente nell’ambito dello scudo per la privacy. Ad esempio, se il DPRC ritiene che i dati siano stati raccolti in violazione delle nuove garanzie potrà ordinarne la cancellazione. Le nuove garanzie in materia di accesso ai dati da parte delle pubbliche amministrazioni integreranno gli obblighi che le imprese statunitensi che importano dati dall’UE dovranno sottoscrivere.
La Presidente Ursula von der Leyen ha dichiarato: “Il nuovo quadro UE-USA per la protezione dei dati personali garantirà flussi di dati sicuri per i cittadini europei e apporterà certezza giuridica alle imprese su entrambe le sponde dell’Atlantico. A seguito dell’accordo di principio che ho raggiunto lo scorso anno con il Presidente Biden, gli Stati Uniti hanno attuato impegni senza precedenti per istituire il nuovo quadro. Oggi compiamo un passo importante per rassicurare i cittadini sul fatto che i loro dati sono al sicuro, per approfondire i legami economici tra l’UE e gli Stati Uniti e nel contempo per riaffermare i nostri valori condivisi. Ciò dimostra che, lavorando insieme, possiamo affrontare le questioni più complesse”.
Le imprese statunitensi potranno aderire al quadro UE-USA per la protezione dei dati personali impegnandosi a rispettare un insieme dettagliato di obblighi in materia di privacy, ad esempio l’obbligo di cancellare i dati personali quando questi non sono più necessari per lo scopo per il quale sono stati raccolti e di garantire la continuità della protezione quando i dati personali sono condivisi con terzi.
I cittadini dell’UE beneficeranno di varie vie di ricorso in caso di trattamento non corretto dei loro dati da parte di imprese statunitensi, quali meccanismi indipendenti gratuiti di composizione delle controversie e un collegio arbitrale.
Inoltre, il quadro giuridico statunitense prevede una serie di garanzie per quanto riguarda l’accesso ai dati trasferiti nell’ambito del quadro da parte delle autorità pubbliche statunitensi, in particolare a fini di contrasto penale e di sicurezza nazionale: L’accesso ai dati è limitato a quanto necessario e proporzionato per proteggere la sicurezza nazionale.
I cittadini dell’UE avranno accesso a un meccanismo di ricorso indipendente e imparziale per quanto riguarda la raccolta e l’uso dei loro dati da parte delle agenzie di intelligence statunitensi, sottolinea la Commissione europea. Tale meccanismo comprende un tribunale del riesame in materia di protezione dei dati (DPRC), di nuova creazione, che esaminerà e risolverà i reclami in modo indipendente, anche adottando misure correttive vincolanti.
Le garanzie predisposte dagli Stati Uniti – sempre secondo quanto dichiarato dalla Commissione europea – agevoleranno inoltre i flussi di dati transatlantici in generale, poiché si applicano anche quando i dati sono trasferiti attraverso altri strumenti, quali le clausole contrattuali tipo e le norme vincolanti d’impresa.
I dubbi espressi da Piwik PRO
Piwik PRO, provider di un software proprietario privacy-friendly che analizza la customer journey su web e app, ha condiviso uno statement in merito al nuovo accordo sul trasferimento dei dati tra UE e USA.
La decisione di adeguamento e l’introduzione del Trans-Atlantic Data Privacy Framework da parte della Commissione Europea pone fine ad anni di incertezza per l’economia digitale europea e statunitense, ampiamente basata sul trasferimento dei dati. Nonostante questo sviluppo fosse atteso e necessario, i problemi e le preoccupazioni legati a questo nuovo accordo ci costringono a interrogarci sulla sua effettiva sostenibilità.
Mentre sia i funzionari UE che quelli statunitensi lodano la qualità del patto, l’attivista Max Schrems ha già, infatti, annunciato che noyb lo contesterà in tribunale in quanto le questioni critiche non sono ancora state risolte. Quindi, sebbene al momento tutto appaia deciso, le organizzazioni che si basano sul trasferimento transatlantico dei dati dovrebbero tenere in considerazione la possibilità del verificarsi di uno “Schrems III”.
Il fatto che il terzo tentativo di regolare questa parte così vitale dell’economia digitale non ci faccia compiere passi avanti e continui, invece, a riproporre le stesse problematiche degli accordi precedenti è piuttosto sconcertante. Affinché la digital economy possa prosperare sono necessarie regole chiare, ma quello che sta succedendo dimostra una mancanza di responsabilità da parte degli enti governativi e minaccia la crescita delle aziende europee.
L’introduzione di un meccanismo di data transfer sostenibile è un elemento cruciale per evitare il ripetersi del caos del passato. L’invalidazione del Privacy Shield, l’accordo precedente, ci aveva già insegnato che varie e popolari tecnologie proposte dalle Big Tech statunitensi, specialmente in ambito marketing e digital analytics, potevano rappresentare un rischio per la conformità e portare a multe salate. Lo scorso 3 luglio l’autorità svedese per la protezione della privacy ha diffuso una dichiarazione in cui ordinava a quattro aziende di cessare l’utilizzo di Google Analytics, sanzionandone due per l’equivalente di 25mila (CDON) e 1 milione (Tele2) di euro.
Aggiornare lo stack tecnologico e le procedure delle aziende per renderle a prova di Schrems III, perciò, è una strategia preziosa. Le nostre raccomandazioni:
-
Eseguire un audit tecnologico per mappare tutti i flussi di dati e identificare i sistemi che si basano su trasferimenti di dati verso gli Stati Uniti.
-
Ove possibile, passare a un provider europeo con hosting all’interno dell’Unione. Questo permetterà di eliminare completamente il problema del trasferimento dei dati e di rendere i sistemi completamente a prova di Schrems III.
-
Laddove lo switch non fosse possibile, collaborare con i team legali e tecnici per introdurre ulteriori misure di sicurezza che consentano di mitigare i potenziali rischi futuri.
