Trasferimento internazionale di dati: il parere dell’EDPB

La Commissione europea il 13 dicembre 2022 ha pubblicato un progetto di decisione di Adeguatezza sull’accordo UE-USA, Data Privacy Framework (DPF) destinato a sostituire il Privacy Shield invalidato dalla Corte di giustizia europea con la sentenza Schrems II. Una volta adottato formalmente, esso riconoscerebbe che gli Stati Uniti garantiscano un livello adeguato di protezione per i dati personali trasferiti dall’UE a organizzazioni certificate ai sensi del DPF.

La valutazione della Commissione europea

La decisione interviene a valle dell’accordo politico raggiunto tra l’UE e gli Stati Uniti nel marzo dello scorso anno e concretizzatosi con l’ordine esecutivo 14086 firmato il 7 ottobre 2022 dal presidente degli Stati Uniti Joe Biden che introduce garanzie per i dati personali dei residenti dell’UE, in particolare limitando l’accesso delle agenzie di intelligence statunitensi e introducendo un meccanismo di ricorso indipendente. L’ordine esecutivo dà attuazione agli impegni assunti da parte degli Stati Uniti. In particolare rileva:

• l’impegno a limitare l’accesso delle autorità statunitensi ai dati esportati dall’UE a quanto necessario e proporzionato all’obiettivo di interesse pubblico perseguito ai sensi della legislazione sulla sorveglianza; le aziende dovranno autocertificare la loro adesione ai Princìpi del quadro UE-USA sulla privacy dei dati;
• il riconoscimento del diritto di ricorso in relazione al modo in cui i dati delle persone fisiche vengono trattati, indipendentemente dalla loro nazionalità;
• l’istituzione di un tribunale di riesame della protezione dei dati.

Il progetto di decisione di adeguatezza valuta i limiti e le garanzie relativi alla raccolta e al successivo utilizzo dei dati personali trasferiti a titolari e responsabili del trattamento negli USA dalle autorità pubbliche statunitensi. Esso, in particolare, valuta se le condizioni in base alle quali è possibile l’accesso ai dati trasferiti negli Stati Uniti soddisfino il requisito di “equivalenza essenziale” ai sensi dell’articolo 45, par. 1 del GDPR, come interpretato dalla Corte di giustizia europea nelle sentenze Schrems.

Il progetto di decisione, sulla base delle salvaguardie introdotte dall’Ordine esecutivo 14086 e delle ulteriori limitazioni all’accesso e all’uso da parte del governo dei dati personali, conclude che quando le forze dell’ordine statunitensi e le autorità di sicurezza nazionale accedono ai dati personali che rientrano nell’ambito di applicazione DPF, tale accesso è disciplinato da un quadro giuridico certo che stabilisce le condizioni alle quali l’accesso può avvenire e garantisce che questo e l’ulteriore utilizzo dei dati siano limitati a quanto necessario e proporzionato all’obiettivo di interesse pubblico perseguito.

Il progetto di decisione conclude inoltre che queste garanzie possono essere invocate da individui che godono di effettivi diritti di ricorso. Quest’ultimo, in particolare, sarà articolato su due livelli come rivendicato dalla CGUE nella sentenza Schrems II. È previsto un processo di revisioni periodiche sul funzionamento del nuovo quadro di riferimento sulla privacy tra UE-USA che sarà condotta dalla stessa Commissione, con il contributo delle autorità europee per la protezione dei dati e insieme alle autorità statunitensi competenti.

Le osservazioni dell’EDPB (il Comitato europeo per la protezione dei dati)

Nel suo parere n.5/2023 l’EDPB (European Data Protection Board) del 28 febbraio ha accolto con favore miglioramenti sostanziali presenti nel nuovo quadro che andrà a disciplinare i rapporti tra UE e USA quali l’introduzione di requisiti che incarnano i principi di necessità e proporzionalità per la raccolta di dati da parte dell’intelligence statunitense e il nuovo meccanismo di ricorso per gli interessati dell’UE.

Allo stesso tempo ha espresso perplessità e, rispetto ai principi, ritiene che non ci siano sostanziali novità tali da modificare le osservazioni espresse dal WP29 nel parere del 2016[1]. Ha rilevato l’assenza di definizioni chiave e la mancanza di chiarezza relativamente all’applicazione dei principi ai responsabili dei trattamenti che rischia di precludere o perlomeno rendere difficile una buona comprensione dei principi da parte degli interessati, ma soprattutto di produrre una incertezza di fondo sotto il profilo interpretativo ed operativo.

In particolare l’EDPB ha concentrato la sua attenzione su alcuni punti che devono essere approfonditi:

• il sistema di autocertificazione delle imprese;
• chiarezza sui diritti degli interessati in particolare in presenza di processi decisionali automatizzati e relativamente ai casi di esenzione;
• modalità e tempi per l’esercizio  del diritto;
• il livello di protezione deve essere assicurato anche nei trasferimenti successivi;
• la portata delle esenzioni per le informazioni disponibili al pubblico;
• la raccolta temporanea di dati in blocco e l’ulteriore conservazione e diffusione senza alcuna autorizzazione preventiva;
• il funzionamento pratico del meccanismo di ricorso: servono maggiori garanzie per assicurarne l’indipendenza; occorre un monitoraggio attento e ripetuto nel tempo.

L’EDPB ritiene necessario che non solo l’entrata in vigore, ma la stessa adozione della decisione di adeguatezza sia subordinata all’adozione di politiche e procedure aggiornate affinché i contenuti dell’ordine esecutivo siano implementate da parte di tutte le agenzie di intelligence statunitensi. L’EDPB raccomanda alla Commissione di sottoporre a monitoraggio e revisione periodica l’intero processo con particolare attenzione ai meccanismi di ricorso, all’applicazione pratica dei nuovi principi di necessità e proporzionalità introdotti per la raccolta di dati da parte dell’intelligence statunitense e di condividere la sua valutazione con l’EDPB.

A che punto siamo

Il percorso non è ancora concluso.

Al parere dell’EDPB si aggiunge la posizione fortemente negativa espressa dalla Commissione per le Libertà Civili, la Giustizia e gli Affari interni del Parlamento europeo (Commissione LIBE) pubblicata lo scorso 14 febbraio 2023. In particolare la Commissione sottolinea come le decisioni della corte del riesame (DPRC) non saranno rese pubbliche o disponibili ai denuncianti e, più in generale, l’organo non è stato considerato sufficientemente trasparente, indipendente e imparziale.

La decisione finale potrebbe intervenire entro l’estate del 2023 con la formale approvazione del Parlamento europeo e del Consiglio.

Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA

[1] Gruppo di lavoro articolo 29, parere 01 /2016 su UE-USA Progetto di decisione di adeguatezza sullo Scudo per la privacy, adottato il 13 aprile 2016 (di seguito, «WP29 Parere 01/2016»).