Il 10 luglio 2023 la Commissione europea ha approvato la nuova decisione di adeguatezza ai sensi dell’art. 45 del Regolamento (UE) 2016/679 (GDPR), dando il via libera al trasferimento dei dati personali dall’Europa agli Stati Uniti senza necessità, per i soggetti che possano avvalersene, di predisporre ulteriori garanzie a tutela dei diritti degli interessati.

1. EU-US Data Privacy Framework, il dopo Schrems II

In particolare, la decisione di adeguatezza avalla la legittimità del cosiddetto “EU-US Data Privacy Framework” (EU-US DPF), il quadro di riferimento per gli scambi transatlantici tra le imprese europee e quelle americane. La Commissione europea ha ritenuto che il menzionato accordo offra adeguate garanzie, a differenza del suo invalidato predecessore (“Data Privacy Shield”), relativamente alla salvaguardia, da parte degli USA, dei diritti fondamentali dei cittadini europei interessati dal trasferimento dei loro dati personali oltreoceano.

La decisione della Commissione risolve un vuoto normativo che perdurava ormai dal 2020, dopo che la Corte di Giustizia dell’Unione europea, nel noto caso Schrems II, aveva invalidato il precedente accordo per i trasferimenti transatlantici (“Data Privacy Shield”) ritenendolo inadeguato a proteggere i diritti fondamentali dei cittadini europei. Più nello specifico, il vizio principale del precedente schema era stato rintracciato nella sua incapacità di garantire che i dati degli interessati europei, una volta trasferiti negli Stati Uniti, sarebbero stati tutelati nei confronti delle autorità locali e della loro facoltà di accedervi per ragioni legate alla sicurezza nazionale. In altri termini, il problema individuato dai Giudici di Lussemburgo era rappresentato dall’impostazione della legislazione USA, che se da un lato permetteva un accesso sproporzionato ai dati personali dei cittadini europei, dall’altro non offriva adeguati meccanismi di tutela (e, segnatamente, di tutela giurisdizionale), azionabili da parte degli stessi in caso di violazione dei propri diritti.

Dopo Schrems II, Unione europea e Stati Uniti sono entrati in una lunga trattativa che ha portato il presidente americano Joe Biden alla firma, il 7 ottobre 2022, dell’ordine esecutivo sul rafforzamento delle salvaguardie per le attività di intelligence degli Stati Uniti (“Enhancing Safeguards for United States Signals Intelligence Activities”), col quale assumeva l’impegno di apportare modifiche alla legislazione interna, in modo tale da allinearla ai dettami stabiliti dalla Corte di Giustizia UE nella sopracitata sentenza, e quindi alla logica di tutela dei diritti fondamentali di cui al GDPR e alla Carta di Nizza.

L’obiettivo sembra essere stato centrato, posto che l’EU-US DPF prevede ora una serie di elementi che, apparentemente, innalzano il livello di tutela degli interessati.

2. Punti salienti del nuovo accordo, tra certificazioni e imparzialità dei meccanismi di tutela

L’accordo si basa su un sistema di certificazioni − in questo senso il regime è analogo a quello del ”Data Privacy Shield” − che le aziende americane devono ottenere per poter partecipare al meccanismo di trasferimento dei dati dall’Europa. Per essere più precisi, dette aziende dovranno auto-certificare di aderire a una serie di principi, istituiti dallo US Department of Commerce (DoC), ora previsti dalla decisione di adeguatezza (ed in particolare all’Annex I) e che ricalcano, al netto degli opportuni adattamenti, quelli stabiliti dal GDPR. Le aziende autocertificanti verranno ammesse al framework soltanto dopo che il Department of Commerce avrà accertato che le stesse rispettino effettivamente quei principi, e potranno essere escluse dall’accordo, successivamente, qualora il Dipartimento accerti che l’azienda non ha rinnovato la certificazione (che deve essere infatti rinnovata annualmente) oppure che abbia violato taluno dei principi di cui all’Annex I. Ad ogni modo, l’ottenimento della certificazione comporta, per le aziende americane, il loro assoggettamento ai poteri di verifica e controllo della Federal Trade Commission (FTC) o del Department of Transportation (DoT) degli Stati Uniti.

Tuttavia, il punto chiave del nuovo schema approvato dalla Commissione europea è probabilmente la revisione dei meccanismi di tutela, attivabili dai soggetti europei interessati dal trasferimento dei dati personali verso gli Stati Uniti, nel caso in cui i loro diritti fondamentali siano oggetto di abuso da parte delle autorità americane preposte alla sorveglianza/vigilanza sulle persone per fini di sicurezza nazionale.

In particolare, il meccanismo dell’Ombudsperson, bocciato dalla CGUE per essere non del tutto imparziale e per non essere quindi in grado di garantire, agli interessati cittadini europei, una tutela equivalente a quella di cui all’art. 47 della Carta di Nizza, viene sostituito da un sistema composto dal Civil Liberties Protection Officer (CLPO), deputato a ricevere e vagliare in prima battuta i reclami degli interessati, e dalla Data Protection Review Court, che invece può essere adita in via eventuale e successiva, nel caso in cui gli stessi interessati non abbiano trovato appagamento nella decisione del CLPO.

Punto di particolare rilievo è rappresentato dalla composizione imparziale della Data Protection Review Court, che sarà infatti composta da professionisti legali, con esperienza nei settori della privacy e della sicurezza nazionale, indipendenti del governo degli Stati Uniti.

3. Verso Schrems III?

Sebbene il quadro di cui stiamo discutendo sia stato accolto con favore da molti, c’è tuttavia chi ancora nutre forti dubbi sulla tenuta complessiva del sistema novello. Le voci più critiche provengono sicuramente dall’organizzazione non profit noyb, il cui fondatore, l’avvocato austriaco Max Schrems, ha già fatto sapere che impugnerà, ancora una volta, la decisone di adeguatezza della Commissione europea. A suo avviso, infatti, questa decisione rappresenterebbe niente meno che una copia del vecchio “Data Privacy Shield”, il cui contenuto sarebbe stato riproposto, immutata la sostanza, all’interno del nuovo schema, modificato a livello meramente formale.

Come noto, Max Schrems è impegnato da anni a combattere una battaglia in nome dei diritti fondamentali, di privacy e di riservatezza, contemplati dalla normativa europea, la quale a suo modo di vedere sarebbe inconciliabile con il sistema legale americano. Ebbene, dopo avere portato l’attenzione dalla CGUE dapprima sul meccanismo noto come “Safe Harbour”, invalidato nel caso Schrems I, e successivamente sul già menzionato “Data Protection Shield”, anch’esso posto nel nulla dai Giudici di Lussemburgo nel caso Schrems II, pare proprio che l’avvocato austriaco sia pronto per un terzo episodio della lunga saga giudiziale.

4. Cenni conclusivi

La decisione adottata dalla Commissione europea rappresenta un passaggio di evidente importanza nella costruzione di un mercato globale intelligente, all’interno del quale la libera circolazione dei dati, veicoli di informazioni e sviluppo, sia incentivata il più possibile. Permettere alle imprese di scambiare i dati in loro possesso significa consentirgli di comprendere in maniera più accurata i bisogni e le esigenze non tanto del singolo, ma della collettività nel suo complesso. Ciò non significa in alcun modo che le esigenze di tutela di privacy e riservatezza debbano essere ignorate, anzi, le stesse vanno valorizzate con forza. Probabilmente l’errore è credere che libera circolazione dei dati e diritto alla privacy si escludano vicendevolmente, quando invece i due elementi, a buona ragione, possono e devono essere considerati come alleati. Il rispetto dei principi del GDPR, e più in generale di una cultura di tutela dei diritti fondamentali in quanto tali, può rappresentare il punto focale del discorso che oggigiorno impegna, divide e appassiona studiosi e non di ogni dove. La decisone di adeguatezza commentata sembra averne tenuto conto, anche se restano note di critica da parte di alcuni addetti ai lavori che, a torto o ragione, hanno già messo in discussione la tenuta di legittimità del nuovo schema di collegamento EU-US. Staremo a vedere, nel caso, quale sarà la valutazione in merito della Corte di Giustizia dell’Unione europea.

Articolo a cura di Marco Di Cioccio e Giulio Monga