Finalmente, sembra avviarsi verso una soluzione l’“odissea” del trasferimento transfontaliero dei dati personali e, in particolare, lo scambio di informazioni personali tra Europa e Stati Uniti.

La questione nasce dalle rivelazioni di Edward Snowden, oramai un decennio fa, dalle quali era emerso che i servizi di intelligence americana, apparentemente per finalità antiterrorismo, registravano in maniera indiscriminata i dati dei cittadini europei, avendo accesso alle informazioni raccolte dai fornitori di servizi di comunicazione, tra cui Google, Apple e Facebook.

Nel 2015, la Corte di Giustizia, a seguito di tali rivelazioni, aveva invalidato gli accordi (Safe Harbor) che legittimavano il trasferimento dei dati personali tra Europa e Stati Uniti, costringendole a negoziare frettolosamente nuovi accordi.

Anche queste seconde intese, che avevano dato vita al Privacy Shield, lo “scudo” per la protezione dei dati, erano state nuovamente invalidate nel 2020 dai giudici europei con la sentenza Schrems II: in particolare, la Corte di Giustizia aveva concluso che gli Stati Uniti continuassero a non offrire un livello di protezione, nel trattamento dei dati, equivalente a quello europeo. L’accesso indiscriminato, da parte delle autorità pubbliche americane, ai dati sarebbe in contrasto con gli articoli 7 e 8 della Carta di Lisbona, che includono, appunto, il rispetto della vita privata e la protezione dei dati personali tra i diritti fondamentali dell’UE.

Si è così aperto un “terzo tempo” sugli accordi di trasferimento trasfrontaliero: i nuovi negoziati tra Commissione europea e Dipartimento del commercio americano sono ripartiti da tempo e la notizia rilasciata ieri è che la Commissione europea ha avviato il processo per l’adozione di una decisione di adeguatezza (denominata “Data Privacy Framework”). La proposta di una nuova di decisione di adeguatezza fa seguito alla firma di un executive order da parte del presidente Biden del 7 ottobre scorso.

Le società statunitensi potranno aderire al Data Privacy Framework impegnandosi a rispettare una serie dettagliata di obblighi in materia di protezione dei dati, tra cui l’obbligo di eliminare i dati personali una volta che si è esaurito lo scopo per il quale sono stati raccolti e di assicurare una adeguata protezione nel caso in cui i dati personali siano condivisi con terzi.

I cittadini dell’UE beneficeranno di diverse vie di ricorso se i loro dati personali saranno trattati in violazione del Data Privacy Framework, anche per mezzo di strumenti indipendenti di risoluzione delle controversie a titolo gratuito: si tratta di una novità importante, perché una delle maggiori criticità rilevate dalla Corte di Giustizia aveva interessato proprio gli strumenti di tutela per i soggetti interessati.

Questi i prossimi passaggi formali. Il progetto di decisione di adeguatezza passerà ora alla procedura di adozione. Come primo passo, la Commissione ha presentato il suo progetto di decisione al Comitato europeo per la protezione dei dati (EDPB). Successivamente, la Commissione chiederà l’approvazione al comitato composto dai rappresentanti degli Stati membri dell’Unione europea e il Parlamento europeo eserciterà il proprio controllo sulla proposta di decisione di adeguatezza. Una volta completata questa procedura, la Commissione procederà all’adozione della decisione finale di adeguatezza, che dovrebbe vedere la luce nei primi mesi del prossimo anno.

Il funzionamento dell’UE-USA Il Data Privacy Framework sarà soggetto a revisioni periodiche, che saranno effettuate dalla Commissione Europea, insieme alle autorità europee per la protezione dei dati e alle competenti autorità statunitensi. Il primo riesame avrà luogo entro un anno dall’entrata in vigore della decisione di adeguatezza, per verificare se tutti gli elementi pertinenti del quadro giuridico statunitense siano stati pienamente attuati e funzionino efficacemente nella pratica.

Author Giovanni Maria Riccio

More posts by Giovanni Maria Riccio