La Commissione europea ha adottato l’attesa decisione di adeguatezza sui trasferimenti di dati nell’ambito del Data privacy framework Ue-Usa. Ciò che ha spianato la strada è stata la modifica delle politiche e procedure delle agenzie di intelligence degli Stati Uniti per dare esecuzione all’ordine esecutivo di Biden. L’analisi dell’avvocato Massimiliano Masnada, partner dello studio legale Hogan Lovells
La decisione della Commissione Europea si inquadra nei poteri che il Regolamento (UE) 2016/679 (GDPR) le attribuisce riguardo la valutazione di adeguatezza della protezione dei dati personali assicurata dalle leggi di Paesi terzi importatori di dati personali dall’UE. Ai sensi dell’articolo 45 del GDPR, i trasferimenti di dati personali che rientrano nell’ambito di applicazione di tale decisione di adeguatezza sono consentiti senza che siano necessarie ulteriori garanzie legali (ad esempio, le clausole contrattuali standard (SCC) o le norme vincolanti d’impresa (BCR) approvate dalla stessa Commissione UE) o autorizzazioni delle autorità di controllo.
L’adozione da parte della Commissione UE della decisione di adeguatezza sul Data Privacy Framework UE-USA (DPF) segna il terzo capitolo nella storia che ha caratterizzato nel corso degli scorsi anni la vicenda del trasferimento dei dati personali dall’UE agli Stati Uniti. Come noto, i precedenti accordi con il governo federale, il Safe Harbour del 2000 e il Privacy Shield del 2016, infatti, sono stati entrambi invalidati da altrettante decisioni della Corte di Giustizia dell’Unione Europea conseguenti ad azioni legali intraprese da Max Schrems. In entrambi i casi, la Corte ha ritenuto incompatibile con il diritto dell’UE la possibilità di una sorveglianza “massiva” per mezzo delle agenzie di intelligence del governo statunitense nei confronti di soggetti dell’UE i cui dati personali erano stati trasferiti negli Stati Uniti.
Data l’importanza per l’economia globale dei trasferimenti di dati tra l’UE e gli Stati Uniti, la Commissione UE e il governo degli Stati Uniti hanno raggiunto un accordo di principio oggetto di dichiarazione congiunta del 25 marzo 2022, in cui si annunciava che gli impegni del governo degli Stati Uniti a riformare le proprie pratiche di sorveglianza per la raccolta di informazioni sarebbero stati promulgati attraverso un ordine esecutivo (EO) emesso dal Presidente Biden.
Il 7 ottobre 2022 la Casa Bianca ha emanato la EO 14086 sul rafforzamento delle salvaguardie per le attività di intelligence dei segnali degli Stati Uniti (EO 14086), che ha stabilito salvaguardie basate su principi che regolano le pratiche di raccolta di dati personali da parte dell’intelligence americana incentrate sui concetti di necessità e proporzionalità che sono alla base del GDPR. Inoltre, l’EO 14086 ha istituito un meccanismo di ricorso giudiziario a due livelli che gli interessati, cittadini europei a cui appartengono i dati trasferiti, possono utilizzare per contestare presunte violazioni dei principi.
- Sintesi della decisione di adeguatezza
Nell’articolo 1 della decisione di adeguatezza, la Commissione UE conclude che gli Stati Uniti garantiscono un livello adeguato di protezione dei dati personali trasferiti dall’UE a organizzazioni negli Stati Uniti che hanno certificato la conformità ai Principi DPF e che sono inclusi nella “Data Privacy Framework List”, che sarà mantenuta e resa pubblica dal Dipartimento del Commercio degli Stati Uniti.
Come nel caso del Privacy Shield e del Safe Harbor, l’accertamento dell’adeguatezza del DPF si applica solo ai trasferimenti di dati effettuati in base al DPF e non a tutti i trasferimenti verso destinatari statunitensi. Ciò detto, tuttavia, la decisione di adeguatezza della Commissione UE aiuta a superare le preoccupazioni specifiche relative all’accesso ai dati personali dell’UE da parte delle agenzie governative statunitensi, poiché le riforme statunitensi in materia poteri dell’intelligence riguarderanno anche le indagini sui dati trasferiti nell’ambito di meccanismi quali SCC o BCR, e quindi anche i trasferimenti effettuati nell’ambito di tali meccanismi potranno beneficiare delle motivazioni che stanno alla base della decisione di adeguatezza.
Ai fini della decisione di adeguatezza – e per superare i rilievi dalla Corte di Giustizia – la Commissione UE sottolinea che il DPF introduce miglioramenti significativi rispetto ai precedenti accordi di Safe Harbour e Privacy Shield. In particolare, la Commissione dimostra di aver valutato in dettaglio le modifiche introdotte dalla EO 14086 e conclude che le nuove garanzie vincolanti rispondono a tutte le preoccupazioni sollevate nella sentenza Schrems II della Corte di Giustizia. In particolare, la Commissione precisa che:
- la legge statunitense contiene diverse limitazioni e salvaguardie per quanto riguarda l’accesso e l’utilizzo dei dati personali per scopi di applicazione della legge penale e di sicurezza nazionale, e prevede meccanismi di controllo e di ricorso che limitano l’accesso ai dati dell’UE a quanto è necessario e proporzionato agli scopi perseguite dalle agenzie. La Commissione UE sottolinea che il 3 luglio 2023 la comunità di intelligence degli Stati Uniti ha adottato varie politiche e procedure che riguardano diverse agenzie statunitensi come la Central Intelligence Agency (CIA), il Federal Bureau Of Investigation (FBI), la National Security Agency (NSA) e il Department of Homeland Security (DHS), che attuano le salvaguardie della EO 14086 rispondendo alle preoccupazioni della Corte di Giustizia.
- per quanto riguarda le opzioni richieste per il ricorso giudiziario, il Tribunale per il riesame della protezione dei dati (DPRC), di recente istituzione, è un tribunale indipendente a cui avranno accesso direttamente i cittadini UE a cui appartengono i dati trasferiti, oltre a quelli dell’area SEE come Islanda, Lichtenstein e Norvegia aggiunti come “Stati qualificati” dal Procuratore generale degli Stati Uniti il 30 giugno 2023.
Il funzionamento del DPF sarà soggetto a revisioni periodiche da parte della stessa Commissione UE, insieme ai rappresentanti delle autorità europee per la protezione dei dati (e quindi anche il Garante italiano) e alle autorità statunitensi competenti. Ai sensi dell’articolo 3 della decisione di adeguatezza, la Commissione monitorerà costantemente l’applicazione del DPF e, qualora abbia indicazioni che non è più garantito un livello di protezione adeguato, informerà le autorità statunitensi competenti e, se necessario, potrà decidere di sospendere, modificare o abrogare la decisione di adeguatezza o di limitarne la portata. La prima revisione avrà luogo nel luglio 2024 per verificare che tutti gli elementi pertinenti dell’EO 14086 siano stati pienamente attuati e funzionino efficacemente nella pratica.
- Meccanismo di autocertificazione
Al fine di rendere effettiva ed efficace la decisione di adeguatezza, le organizzazioni USA che importano dati personali dall’UE e vogliono utilizzare il DPF devono autocertificare la loro adesione ai Principi del DPF. I Principi del DPF sono una versione aggiornata e ulteriormente motivata dei principi già stabiliti nel quadro del Privacy Shield e possono essere sintetizzati come segue:
- a) Informativa: l’organizzazione USA deve informare gli interessati, tra l’altro, in merito alla sua partecipazione al DPF e fornire un link/accesso web all’elenco dei Principi DPF; ai tipi di dati personali raccolti; all’impegno a rispettare Principi DPF; alla tipologia o l’identità dei terzi a cui trasferisce ulteriormente i dati personali raccolti e le finalità di tale trasferimento successivo; al diritto degli interessati di accedere ai propri dati personali; all’organismo indipendente di risoluzione delle controversie designato per trattare i reclami e fornire un ricorso appropriato e gratuito all’individuo; alla possibilità di proporre ricorso al DPRC; all’essere soggetto ai poteri di indagine del Dipartimento del Commercio degli Stati Uniti o di qualsiasi altro organismo statutario autorizzato negli Stati Uniti.
- b) Scelta/opt-out: l’organizzazione deve offrire alle persone l’opportunità di impedire (tramite un opt-out) che il loro dati personali (i) siano divulgati a terzi o (ii) siano utilizzati per uno scopo sostanzialmente diverso da quello/i per cui sono state originariamente raccolte o successivamente trasferite.
- c) Responsabilità (accountability) per il trasferimento successivo: oltre a garantire la facoltà di scelta, le organizzazioni devono stipulare un contratto con il terzo titolare del trattamento cui i dati sono trasferiti o messi a disposizione che preveda che tali dati possano essere trattati solo per finalità limitate e specifiche, coerentemente con il consenso fornito dall’individuo (o altra valida base giuridica), e che il destinatario fornisca lo stesso livello di protezione dei Principi DPF ovvero notifichi all’organizzazione la circostanza di non poter più soddisfare tale obbligo. In tal caso il contratto deve prevedere che il terzo cessi il trattamento o adotti altre misure ragionevoli e appropriate per porvi rimedio.
- d) Sicurezza: le organizzazioni devono adottare misure ragionevoli e appropriate per proteggere i dati raccolti da perdita, uso improprio e accesso, divulgazione, alterazione e distruzione non autorizzati, tenendo in debito conto i rischi connessi al trattamento e la natura dei dati personali.
- e) Integrità dei dati e limitazione delle finalità: l’organizzazione non può trattare i dati personali in modo incompatibile con le finalità per cui sono stati raccolti o successivamente autorizzati dall’interessato. Nella misura necessaria a tali scopi, un’organizzazione deve adottare misure ragionevoli per garantire che i dati personali siano affidabili per l’uso previsto, accurati, completi e aggiornati. L’organizzazione deve attenersi ai Principi DPF per tutto il tempo in cui conserva tali informazioni.
- f) Accesso: gli interessati devono avere accesso alle informazioni personali che le riguardano e che sono in possesso di un’organizzazione e devono poterle correggere, modificare o cancellare qualora siano inesatte o siano state trattate in violazione dei Principi DPF.
- g) Ricorso, applicazione e responsabilità: si devono prevedere solidi meccanismi per garantire l’osservanza dei Principi DPF, il ricorso per le persone interessate dalla mancata osservanza dei Principi e le conseguenze per l’organizzazione in caso di mancato rispetto degli stessi. Tali meccanismi devono almeno includere
- meccanismi di ricorso indipendenti e prontamente disponibili, attraverso i quali l’organizzazione risponderà prontamente alle indagini e alle richieste del Dipartimento del Commercio degli Stati Uniti. Le organizzazioni che hanno scelto di collaborare con le autorità di protezione dei dati devono rispondere direttamente a queste ultime per quanto riguarda le indagini e la risoluzione dei reclami;
- procedure di follow-up per verificare la veridicità delle attestazioni e delle affermazioni delle organizzazioni sulle loro pratiche in materia di privacy; e
- l’obbligo di porre rimedio ai problemi derivanti dal mancato rispetto dei Principi DPF da parte delle organizzazioni che dichiarano di aderirvi.
Come previsto dall’allegato I della decisione, i principi comprendono anche “principi supplementari” che includono, tra l’altro, la responsabilità supplementare: i fornitori di servizi Internet, i vettori di telecomunicazioni e altre organizzazioni non sono responsabili quando per conto di un’altra organizzazione si limitano a trasmettere, instradare, scambiare o memorizzare informazioni. Il DPF non crea responsabilità supplementare. Nella misura in cui un’organizzazione agisce come mero tramite per i dati trasmessi da terzi e non determina le finalità e i mezzi del trattamento di tali dati personali, non sarebbe responsabile per violazione dei Principi DPF da parte del committente.
In sintesi, per aderire al DPF, un’organizzazione USA deve sviluppare una politica sulla privacy conforme, identificare un meccanismo di ricorso indipendente e autocertificarsi attraverso il sito web fornito dal Dipartimento del Commercio degli Stati Uniti, accessibile all’indirizzo https://www.dataprivacyframework.gov/s/.
Sul sito web del DPF è disponibile anche un elenco di organizzazione certificate, in modo che gli esportatori di dati con sede nell’UE possano facilmente verificare se un importatore di dati statunitense beneficia delle protezioni previste dalla decisione di adeguatezza del DPF.
- Impatto sulle imprese europee
Per le aziende europee, la decisione di adeguatezza in commento è un’ottima notizia. Dopo la sentenza Schrems II della Corte di Giustizia ed alcune decisioni delle autorità per la protezione dei dati personali europee, incluso il Garante contro i trasferimenti dei dati negli Stati Uniti, vi sono stati momenti di incertezza che hanno messo a rischio e, comunque, complicato rapporti commerciali con partner e fornitori.
Dopo le decisioni della Corte di Giustizia, la Commissione EU ha approvato una nuova tipologia di SCC nel 2021 che recepivano le preoccupazioni della Corte e introducevano l’obbligo di eseguire un transfer impact assessment (TIA) atto a valutare il rischio ed a porvi rimedio attraverso la previsione contrattuale misure di protezione e di sicurezza adeguate. Tuttavia, spesso tali valutazioni di adeguatezza sono state giudicate insufficienti dalle autorità di controllo che hanno sanzionato le imprese per violazione del principio di accountability (non potendo giudicare illecito il trasferimento poiché formalmente basato sulle SCC approvate dalla Commissione UE).
La decisione di adeguatezza in commento consente un recupero di certezza del diritto. Basti pensare che tale decisione è vincolante; il che significa che le autorità di protezione dei dati dovranno accettare la decisione di adeguatezza in quanto crea un meccanismo valido per i trasferimenti di dati in conformità con il capitolo V del GDPR senza la necessità di ottenere ulteriori autorizzazioni (o valutazioni della TIA effettuata dall’esportatore dei dati). Potranno essere ovviamente valutate caso per caso le violazioni del Principi DPF (ad esempio in seguito a un reclamo da parte di un interessato) e le organizzazioni USA che hanno scelto di collaborare con le autorità di protezione dei dati dovranno rispondere direttamente a queste ultime per quanto riguarda le indagini e la risoluzione dei reclami. Ciononostante, non potrà essere sanzionata per trasferimento illecito di dati personali la società europea che ha trasferito i dati negli Stati Uniti verso una organizzazione che ha dichiarato di adottare e rispettare i Principi DPF.
Le imprese italiane che intendono concludere con un partner o un fornitore statunitense un accordo commerciale che comporti un trasferimento di dati personali dovranno verificare sul sito web del DPF se il destinatario negli Stati Uniti è certificato ai sensi del DPF e se il trasferimento dei dati pertinenti è coperto da tale certificazione.
Inoltre, nella misura in cui il trasferimento dei dati personali verso una organizzazione USA si fondi sui Principi DPF, l’impresa esportatrice dovrà informare gli interessati aggiornando l’informativa sulla privacy ai sensi degli artt. 13 e 14 del GDPR.
Gli esportatori di dati dell’UE potrebbero avere motivo di fare affidamento ancora sulla SCC o sulle BCR, soprattutto se questi sono già sono stati adottati e se è commercialmente conveniente non modificare gli assetti contrattuali con partner o infragruppo. In questi casi, le imprese europee potranno tenere conto dell’impatto della decisione di adeguatezza sulle SCC e/o BCR esistenti. Come detto, infatti, le riforme statunitensi in materia di poteri dell’intelligence riguarderanno anche le indagini sui dati trasferiti nell’ambito di meccanismi quali SCC o BCR, e quindi anche i trasferimenti effettuati nell’ambito di tali meccanismi potranno beneficiare delle motivazioni che stanno alla base della decisione di adeguatezza.
Inoltre, la TIA per i trasferimenti di dati tra l’UE e gli Stati Uniti non sarà tecnicamente necessaria per i trasferimenti coperti dal DPF. Tuttavia, le TIA esistenti (ad esempio quelli preparati ai sensi della clausola 14 delle SCC) nell’ambito di trasferimenti verso organizzazioni USA che non hanno dichiarato di adottare i Principi DPF potranno essere riconsiderate tenendo conto delle modifiche apportate alle leggi statunitensi in materia di sorveglianza.
- Considerazioni finali
La decisione di adeguatezza della Commissione UE che ratifica il nuovo accordo di safe harbour nei trasferimento dai dati personali tra UE e Stati Uniti va salutato con favore da parte non solo delle imprese europee ma anche dai cittadini stessi.
Il flusso costante di dati personali tra EU e Stati Uniti non è stato mai seriamente messo in discussione dai velleitari ricorsi degli attivisti di Noyb ed è irrealistico che singoli provvedimenti delle autorità europee possano superare una realtà connaturata e irreversibile all’interno del mercato globalizzato. Peraltro non può tacersi il fatto che con i processi graduali di digitalizzazione, le informazioni, personali e non, hanno definitivamente acquisito un valore economico e strategico. La tecnologizzazione crescente e la digitalizzazione dei processi produttivi e di distribuzione ha comportato inevitabilmente la modifica radicale degli assetti socio-economici condivisi. Si assiste alla valorizzazione dei giacimenti informativi a fini statistici e di ricerca, per l’analisi delle tendenze del mercato, per avvicinare l’offerta alla domanda, per aumentare la competitività mediante l’innovazione dei processi produttivi e la qualità dei prodotti e servizi.
Il flusso di informazioni e di dati è necessario per alimentare gli algoritmi di intelligenza artificiale, rendendoli più precisi e migliorando l’efficacia del loro utilizzo per il benessere della collettività. Lo sviluppo dell’Internet of Things e delle tecniche machine-to-machine si basa sul flusso di informazioni. Come è pensabile in una economia globalizzata delimitare territorialmente il flusso e l’accesso alle informazioni? Senza considerare che i fornitori di servizi più affidabili in termini di sicurezza e di garanzie contrattuali sono innegabilmente le solite note aziende statunitensi? Si pensi al caso Google Analytics. Davvero qualcuno pensa che la maggior parte delle imprese europee ha seriamente considerato di sostituire tale straordinario supporto gestionale rinunciando alle sue potenzialità solo perché gli IP addresses potevano essere trasmessi negli Stati Uniti?
L’intervento della Corte di Giustizia è sicuramente servito a porre il problema e a costringere, in un certo senso, il governo degli Stati Uniti a mettersi al tavolo della trattativa per risolvere il problema. Ma il problema appartiene alla geopolitica internazionale che la “società dei dati” ha rivoluzionato creando rapporti di forza e la necessità di un riequilibrio. Oggi, con la decisione di adeguatezza della Commissione UE, è stato certificato un accordo internazionale che ha il pregio di dare certezza e, nello stesso tempo, di impegnare il più grande partner commerciale europeo, gli Stati Uniti, ad uniformarsi agli standard europei di protezione dei diritti fondamentali della persona.
Del resto, da tempo il mercato aveva costretto le imprese statunitensi ad anticipare le messe del proprio governo. Basti pensare a quante volte la parola “privacy” è centrale nei messaggi pubblicitari delle big tech. Si faccia caso alla nuova pubblicità dell’iphone 14 di Apple sui cartelloni stradali a Milano o Roma: su 8 parole di messaggio pubblicitario, due sono la parola “privacy”. L’accordo tra UE e Stati Uniti certifica soltanto che la domanda di privacy dell’utente globale non può essere ignorata e deve essere supportata da una offerta adeguata, imposta, ove necessario, anche da leggi di nuova generazione. Non è un caso, che la Cina si sia dotata di una legge molto simile nei principi al GDPR. Certo è che questa decisione della Commissione UE è un punto a favore degli Stati Uniti nella guerra commerciale tra i due Paesi.