Scambio di dati, scoppia la pace tra Europa e Stati Uniti ma potrebbe durare poco

C’è pace tra Europa e Stati Uniti – dopo un’attesa di tre anni – sullo scambio di dati. Le big tech tirano un sospiro di sollievo; si pensi che a causa dell’incertezza su questo fronte Meta aveva minacciato di lasciare l’Europa. Idem aziende e pubbliche amministrazioni che usano i loro servizi e che stavano cominciando a subire le attenzioni del Garante Privacy, appunto per l’assenza di un accordo Usa-Europa. Ma potrebbe essere una tregua di breve durata. Tante le critiche, anche interne all’Europa, a questo patto che ha valenza politica ed economica (“data economy” assieme). Di preciso quello adottato il 10 luglio 2023 dalla Commissione europea è una nuova decisione di adeguatezza sul quadro normativo (“framework) UE-USA in materia di privacy dei dati. L’adozione di questa decisione di adeguatezza fa seguito ad anni di intensi negoziati tra l’UE e gli Stati Uniti, dopo l’invalidazione dello Scudo per la privacy (Privacy Shield) UE-USA da parte della Corte di giustizia dell’Unione europea (”CGUE”) nella causa Schrems II.

Secondo il comunicato stampa della Commissione europea, la decisione stabilisce che gli Stati Uniti garantiscono un livello di protezione adeguato - paragonabile a quello dell’Unione europea - per i dati personali trasferiti dall’UE alle società statunitensi nell’ambito del nuovo quadro normativo”. Tutto questo nonostante l’apparato di sorveglianza anti-terrorismo che gli Usa hanno messo in campo negli ultimi venti anni, motivo che ha portato alla bocciatura del precedente accordo (Privacy Shield).La decisione sull’adeguatezza, attesa da tempo, fornisce alle aziende dell’UE che trasferiscono dati personali negli Stati Uniti un ulteriore meccanismo per legittimare i loro trasferimenti transatlantici di dati. E quindi evitare problemi con le norme privacy. La decisione sull’adeguatezza consente alle aziende autocertificate che aderiscono al Quadro sulla privacy dei dati UE-USA e si impegnano a rispettare una serie di obblighi in materia di privacy di ricevere dati personali dell’UE senza dover mettere in atto ulteriori garanzie di trasferimento. Secondo la Commissione europea, il Quadro sulla privacy dei dati UE-USA risponde a tutte le preoccupazioni sollevate dalla CGUE, anche per quanto riguarda l’accesso ai dati dell’UE da parte dei servizi di intelligence statunitensi. Ai cittadini europei vengono inoltre offerti migliori meccanismi di ricorso nel caso in cui i loro dati personali vengano trattati in modo non conforme al Quadro sulla privacy dei dati UE-USA, anche attraverso il Tribunale per il riesame della protezione dei dati, recentemente istituito.

Le aziende attualmente autocertificate nell’ambito del quadro dello scudo per la privacy UE-USA avranno accesso a una procedura semplificata per l’autocertificazione nell’ambito del quadro per la privacy dei dati UE-USA. Ma critiche sono apparse già nei mesi scorsi, non appena è emerso l’attuale testo della decisione di adeguatezza (all’epoca ancora da approvare). A febbraio, il Comitato europeo per la protezione dei dati, che riunisce tutte le autorità di protezione dei dati dell’UE, ha evidenziato diversi punti da migliorare, in particolare per quanto riguarda i diritti degli interessati, i trasferimenti successivi di dati e la raccolta temporanea di dati in massa.I regolatori europei della privacy, inoltre, hanno osservato che occorre monitorare attentamente il funzionamento pratico del meccanismo di ricorso e l’interpretazione dei principi di necessità e proporzionalità.In particolare, il concetto di accesso “proporzionato” ai dati potrebbe non essere in linea con la Carta dei diritti fondamentali dell’UE, in quanto sarà la giurisprudenza statunitense a definire il termine. Critiche, a maggio, anche dal Parlamento europeo.Il meccanismo di ricorso è un altro aspetto controverso. Oltre al responsabile della protezione delle libertà civili, esso comprende un tribunale per la revisione della protezione dei dati, che tuttavia non è del tutto indipendente in quanto fa capo al ramo esecutivo degli Stati Uniti. Max Schrems ha dichiarato di avere pronto un nuovo ricorso alla CGUE, perché quest’ultima decisione di adeguatezza è uguale alle precedenti, nella sostanza. Ne ha fatti due, finora, su questi accordi e li ha vinti entrambi.

«Ci aspettiamo che il nuovo sistema sia utilizzato dalle prime aziende nei prossimi mesi, il che aprirà la strada a un ricorso da parte di qualcuno i cui dati vengono trasferiti in base al nuovo strumento. Non è improbabile che una contestazione possa arrivare alla CGUE entro la fine del 2023 o l’inizio del 2024. La CGUE avrebbe la possibilità di sospendere il “quadro” per il periodo della procedura. Una decisione finale della CGUE sarebbe probabile entro il 2024 o il 2025. Indipendentemente dal successo di tale ricorso, questo porterà chiarezza sul “Quadro transatlantico sulla privacy dei dati” entro circa due anni», ha affermato. «Negli ultimi 23 anni tutti gli accordi tra Unione Europea e Stati Uniti sono stati dichiarati non validi retroattivamente, rendendo illegali tutti i trasferimenti di dati effettuati in passato dalle imprese - ora sembra che si aggiungano altri due anni di questo ping-pong», ha aggiunto.Schrems, con la sua associazione Nyob, denuncia che la UE preferisca tutelare così le relazioni con gli USA a scapito della privacy. «Tutto ciò, inevitabilmente, solleva grossi dubbi riguardo alla consistenza e alla lunga durata di un accordo che è stato gestito in modo affrettato dalla Commissione e che potrebbe quindi essere impugnato e nuovamente invalidato dalla Corte di Giustizia, per la terza volta», spiega l’avvocata specializzata in privacy Anna Cataleta. «Il nuovo accordo poScambio di dati, scoppia la pace tra Europa e Stati Uniti ma potrebbe durare poco: ecco perchétrebbe quindi avere vita breve», aggiunge.

CONSIGLI24

I migliori consigli su prodotti di tecnologia, moda, casa, cucina e tempo libero

Scopri di più

LAB24

La Guerra dei chip

Scopri di più