Indice
Introduzione
Dopo le rivelazioni di Snowden (protagonista dell’omonimo film del 2016 con Gordon-Levitt n), la Corte di Giustizia dell’UE (di seguito, CGUE) ha invalidato per ben due volte gli accordi internazionali tra Europa e America volti a garantire trasferimenti di dati transatlantici conformi al GDPR.
Prima, nel 2015, la Corte ha invalidato il Safe Harbor Framework UE-USA e poi, nel 2020, un accordo successivo, il Privacy Shield, ha subito la stessa sorte.
Il Data Privacy Framework EU-US (di seguito, DPF, di cui vi avevamo già parlato) è il terzo e, per il momento, ultimo tentativo di trovare un accordo internazionale per trasferire dati personali tra Europa e America in conformità al GDPR.
L’ultima decisione di adeguatezza della Commissione EU del 10.07.2023 sul sistema giuridico e governativo statunitense, si basa appunto sul DPF e sull’Executive Order n. 14086 (di seguito, EO) emesso dall’amministrazione uscente di Joe Biden.
Giunti al primo “compleanno” del DPF, i rappresentanti europei e americani si sono incontrati, come già programmato, per riesaminare se i requisiti di adeguatezza siano ancora sussistenti e per verificare se le autorità americane abbiano rispettato gli impegni presi, sia a livello teorico-giuridico, che pratico, concreto.
La valutazione positiva sul rispetto degli impegni programmatici
Sia la Commissione UE nel proprio Report, che l’EDPB nella propria Relazione (emessa esattamente il giorno prima delle elezioni amaricane – data probabilmente non casuale) osservano che il Dipartimento del Commercio (di seguito, DoC) americano ha adottato le misure necessarie per attuare e rendere effettivo ed operante il processo di certificazione delle aziende statunitensi al DPF.
Ciò include:
- lo sviluppo di un nuovo sito web,
- l’implementazione delle procedure di certificazione e aggiornamento dell’iscrizione ad esso,
- l’impegno per il coinvolgimento delle aziende e
- la conduzione di attività di sensibilizzazione.
Secondo il Rapporto, finora il DoC ha respinto 33 domande di organizzazioni che volevano aderire al DPF.
Il DoC, inoltre, sta lavorando ad un meccanismo di alert automatico per ricordare alle organizzazioni di aggiornare e certificare nuovamente le loro iscrizioni alla lista del DPF, in quanto l’iscrizione di ciascuna azienda su base volontaria al DPF ha la valenza soltanto annuale e scade se non rinnovata.
Gestione dei ricorsi e dei reclami
Ricorsi avverso autorità pubbliche americane (redress)
L’America, inoltre, ha adempiuto all’impegno di implementare il meccanismo di ricorso per i cittadini europei avanti alla Data Protection Review Court (di seguito, DPRC) esperibile nei confronti delle autorità ed agenzie pubbliche americane (incluse quelle che fanno parte della “Intelligence Community” a cui fa riferimento l’EO di Biden).
Tuttavia, al momento della revisione, nessun ricorso al DPRC era stato presentato attraverso questo nuovo meccanismo di appello (il primo grado era già rimesso al US Office of the Director of National Intelligence’s Civil Liberties Protection Officer).
Ciò rivela, di fatto, la scarsa utilità ed efficacia pratica, almeno per il momento, di tale meccanismo d’appello, che sembra essere rimasto complesso e spesso inaccessibile al cittadino medio, sia per la distanza geografica, sia per la complessità dei processi legali e amministrativi.
Reclami avverso le società aderenti al DPF
L‘America, almeno formalmente, è risultata diligente ed adempiente anche rispetto all’impegno assunto in parallelo di mettere a disposizione dei cittadini europei la possibilità di esperire reclami direttamente alle società iscritte al DPF.
Nell’ambito di tale punto programmatico, adempiuto e portato a termine dagli Stati Uniti, è stata altresì pubblicata in entrambi i continenti, una guida completa per la gestione dei reclami.
Nonostante ciò, però, il basso numero di reclami dei consumatori registrati finora nell’ambito del DPF ha portato l‘EDPB a sollecitare le autorità statunitensi affinché avviino attività di controllo proattivo sulla conformità delle imprese certificate, ai principi sostanziali del Data Privacy Framework.
Ricorso a enti terzi indipendenti (IRM)
Anche l’altro canale alternativo, quello dei Meccanismi di Ricorso Indipendenti (di seguito, IRM) da presentare di fronte a enti terzi ed (appunto) indipendenti, non ha dato esiti molto più incoraggianti.
Infatti, su 87 reclami presentati da cittadini europei nel corso della prima metà del 2024 ad uno di tali enti indipendenti (BBB National Programs), solo due di essi sono risultati ammissibili ed idonei a essere risolti tramite tale meccanismo.
La Commissione europea, però, ha ridimensionato le preoccupazioni derivanti da tali dati sostenendo che l’esperienza nell’applicazione pratica delle salvaguardie previste dal DPF è necessariamente limitata dopo un solo anno di funzionamento.
Per di più che, nell’anno appena trascorso, l’attenzione delle autorità americane si è rivolta in primis a creare ex novo gli elementi costitutivi del Framework prima assenti.
Altri sviluppi del quadro giuridico della privacy statunitense
Nuove Policy e guidelines della “Intelligence Community”
Le autorità europee si sono inoltre concentrate sull’effettiva attuazione da parte delle agenzie statunitensi, soprattutto quelle d’intelligence, delle salvaguardie introdotte dall’Executive Order 14086, tra cui, su tutti, i fondamentali principi di necessità e proporzionalità.
L’EDPB, in particolare, ha riconosciuto l’aggiornamento delle politiche interne e linee guida delle agenzie di intelligence per incorporare i principi di necessità e proporzionalità nel contesto sia della raccolta di dati mirata, che nella raccolta di massa.
Ma al contempo ha sottolineato altresi l’importanza di monitorare attentamente l’applicazione pratica di tali policy e guideline, richiedendo esempi concreti nelle prossime revisioni.
Rapporti tra Data broker e autorità pubbliche americane
Particolari criticità sono inoltre suscitate dalla pratica delle agenzie d’intelligence e di enforcement di acquistare dati personali da broker e intermediari commerciali.
Tale pratica rappresenta un potenziale aggiramento dell’OE 14086 di Biden e, inoltre, in base al principio di responsabilità per i trasferimenti successivi sancito dal DPF, tali acquisizioni di dati europei sono consentite solo se:
- lo scopo è limitato e specifico,
- sono basate su contratti esistenti tra un’organizzazione certificata DPF e una terza parte, e
- se tale contratto prevede lo stesso livello di protezione per i dati personali europei riconosciuta da un’organizzazione vincolata ai principi del DPF.
Il Report della Commissione riconosce però il lavoro svolto dalla Federal Trade Commission (di seguito, FTC) contro i data broker, in particolare contro quelli che vendono dati sensibili e particolari dei consumatori.
Sono citati in particolare i casi di Outlogic e X-Mode, i quali potrebbero essere presi come esempi, se non addirittura come precedenti (che sappiamo essere molto importanti in common law) per impedire acquisizioni commerciali di dati sensibili europei in spregio del DPF.
Section 702
Altra questione che resta problematica è quella della riattivazione della Section 702, una reminescenza post 11 settembre.
Tale Sezione, nella versione attualizzata, autorizza le agenzie di intelligence e sicurezza americane a intercettare i dati, inclusi quelli salvati su cloud americani, e le comunicazioni di cittadini non americani che si trovano fuori dagli Stati Uniti, senza bisogno di specifico mandato, ma solo per generiche esigenze di sicurezza nazionali.
Il bilanciamento, qui, se possiamo chiamarlo tale, è rappresentato dai protocolli di minimizzazione e dalle revisioni annuali della Foreign Intelligence Surveillance Court (FISC), che mirano a proteggere le informazioni “collaterali” relative ai cittadini americani.
Una situazione internazionale incerta e rischiosa
Nonostante ciò, la tutela per i cittadini non statunitensi rimane dubbia e, soprattutto, la protezione effettiva sotto il GDPR appare menomata ed evidentemente inferiore ai rigorosi requisiti della CGUE in materia di diritti fondamentali.
Le osservazioni di cui sopra, già comunque note prima del Report della Commissione, hanno portato molteplici stakeholders europei a esprimere scetticismo sulla validità delle protezioni promesse dal DPF e sulla loro applicabilità pratica quando i dati transitano attraverso o sono conservati negli USA.
Prima fra tutti è di certo l’organizzazione europea per la difesa della privacy NOYB (acronimo di None of Your Business e guidata dall’attivista e avvocato austriaco Max Schrems).
NYOB, infatti, in un proprio comunicato stampa, ha dichiarato di aver già pronto il ricorso alla CGUE per richiedere l’invalidazione del DPF sulla base degli stessi motivi che hanno portato alla cassazione dei suoi predecessori anche se, di fatto, al momento non risulta averlo ancora depositato.
Le Tecnologie di Ottimizzazione della Privacy potrebbero aiutare a trovare una soluzione?
In questo rischioso scenario, sta salendo sempre più alla ribalta il tema delle Tecnologie di Ottimizzazione della Privacy (PET, dall’inglese Privacy-Enhancing Technologies).
Ciò in quanto i diversi approcci giuridici alla privacy sembrano rendere sempre più irrealistico affrontare la questione solo dal punto di vista legale o giuridico.
Le tecnologie PET sono definite dall’OCSE come “un insieme di tecnologie e approcci digitali che consentono la raccolta, l’elaborazione, l’analisi e la condivisione di informazioni proteggendo la riservatezza dei dati personali”.
Possono svolgere diverse funzioni, tra cui quella di offuscare e nascondere le informazioni personali, consentendo di effettuare calcoli su dati criptati.
Ad es. le tecniche di privacy differenziale aggiungono un “rumore di fondo” a un set di dati grezzi per offuscare i dettagli dei singoli dati e input, senza compromettere l’utilità complessiva dei dati
Nei casi in cui il trasferimento di dati personali è inevitabile, le PET possono fungere da solido e accountable meccanismo di tutela della privacy.
Allo stato attuale, però, nonostante i risultati incoraggianti, la maggior parte delle PET richiede ancora attività di ricerca e sviluppo, che potrebbe essere finanziata da investimenti bipartisan, europei e americani, o comunque svolta nell’ambito di tavoli tecnici congiunti.
Nella consapevolezza che comunque, certi problemi, come l’inefficacia dei meccanismi di reclamo o di ricorso, difficilmente potranno essere risolte da soluzioni soltanto tecnologiche.
Le implicazioni privacy dell’elezione di Trump alla Casa Bianca
Giunti a questo punto, come potrebbe impattare il secondo mandato di Trump su questa incerta situazione e sulla sicurezza dei trasferimenti transatlantici di dati personali?
Scetticismi
Latombe, deputato francese, ha espresso gravi preoccupazioni per l’approccio protezionistico, il temperamento impulsivo, e (almeno a sua detta) l’inclinazione di Trump a sfruttare le debolezze degli accordi per perseguire interessi nazionali, proponendo la sospensione del DPF.
Le sue preoccupazioni non sono certo prive di un qualche fondamento.
Alcuni funzionari apicali della seconda amministrazione Trump potrebbero essere propensi a rinunciare a ulteriori riforme se il DPF venisse in futuro annullato da un’altra decisione della CGUE, come le sue precedenti versioni viste sopra.
Un secondo mandato Trump potrebbe indurre alcuni funzionari statunitensi a rinunciare a ulteriori riforme, soprattutto se la CGUE invalidasse davvero il DPF, come avvenuto con Safe Harbor e Privacy Shield.
Introdurre nuove garanzie legali per i dati personali degli europei richiederebbe leggi federali, ma il processo si scontrerebbe con vincoli costituzionali e un Congresso potenzialmente sfavorevole.
Ottimismi
In realtà, oltre alle preoccupazioni francesi, è ancora piuttosto incerto se la nuova amministrazione che si insedierà il 20.01.2025 decida o no di rinnegare alcuni degli impegni internazioni presi in ambito di flussi digitali transatlantici.
Infatti, da una parte, è sì vero che la decisione “Schrems II” è stata presa durante la prima amministrazione Trump.
Ma è altrettanto vero che i funzionari del DoC della stessa amministrazione, e di altre agenzie competenti, dopo di ciò, si sono subito messi al lavoro su un nuovo accordo per affrontare le preoccupazioni della CGUE.
Anche se il DPF è stato attuato e reso esecutivo dall’amministrazione Biden, le negoziazioni del framework erano di fatto già iniziate e portate avanti dalla prima amministrazione Trump.
Sembrerebbe, quindi, improbabile, ma il condizionale è d’obbligo, che la seconda volta del Tycoon alla Casa Bianca, porti a modifiche drastiche, del DPF, o a una sua rinnegazione, considerata anche e soprattutto la sua importanza politica ed economica per entrambe le parti.
L’Europa, infatti, è uno dei principali mercati ove l’industria informatica statunitense esporta, con il 90% delle società europee che fa affidamento su trasferimenti transatlantici di dati.
Conclusioni
Per ora prevale una fragile tregua: l’Europa procederà ad una prossima revisione del DPF entro tre anni, se non meno, anziché quattro.
Le Autorità di Protezione dei Dati (di seguito, DPA) nazionali potrebbero però sempre mettere in discussione la revisione positiva.
Ciò deriva dalla sentenza “Schrems II”, fonte di diritto immediatamente applicabile, ove è stato riconosciuto che la DPA irlandese aveva colpevolmente esitato a chiedere una revisione della conformità del Privacy Shield ai requisiti del GDPR.
Ogni DPA nazionale ha la competenza, in primo luogo, di dimostrare se la Commissione UE deve sottoporre a revisione una decisione di adeguatezza e, in secondo luogo, se il risultato della revisione è davvero conforme al GDPR.
E ciò, a maggior ragione, se incalzata da reclami da parte dei cittadini europei i cui dati personali hanno perso, in America, le tutele di cui godono sotto il GDPR
Questa facoltà riconosciuta alle DPA nazionali permetterà di sollecitare ulteriormente la Commissione EU affinché mantenga tassativamente aggiornata e allineata alla realtà attuale la sua valutazione di adeguatezza.
Come dimostrato anche dalla maxi sanzione ad Uber di 290 mln €, i trasferimenti di dati verso gli Stati Uniti sono un tema che le aziende devono governare con attenzione e consapevolezza.
Per operare conformemente e proteggere i diritti fondamentali dei propri interessati, è essenziale una valutazione d’impatto adeguata e una strategia mirata.
Hai dubbi se effettui trasferimenti extra-UE, necessiti di tracciarli o di un Transfer Impact Assessment (TIA)?
Contattaci e ti aiuteremo ad impostare efficaci trasferimenti di dati personali verso fornitori o clienti americani, senza rinunciare alla compliance.