Il 7 ottobre 2022 il Presidente degli Stati Uniti d’America Joe Biden ha firmato l’Executive Order volto ad implementare il contesto relativo al trattamento dei dati personali tra Unione Europea e Stati Uniti.
Questo documento, nato per delineare il perimetro di azione degli organi governativi americani, rappresenta di fatto un primo significativo passo verso una nuova regolamentazione del trattamento dei dati personali degli utenti europei negli Stati Uniti.
Il trasferimento dei dati verso Paesi terzi non appartenenti allo Spazio Economico Europeo è infatti uno dei temi più delicati ed importanti tra quelli disciplinati all’interno del GDPR: una volta che i dati vengono trasferiti fuori dall’Unione Europea, verso paesi che non prevedono tutele simili a quelle previste dal legislatore europeo, gli interessati perderebbero ogni diritto e garanzia sui loro dati personali.
Il trasferimento dei dati nel Regolamento UE n.679/16
Il Regolamento stabilisce che tutti i trasferimenti di dati personali verso un Paese terzo o un’organizzazione internazionale, possono avere luogo soltanto nel rispetto delle regole di adeguatezza; la Commissione europea dovrebbe infatti riconoscere che il Paese nel quale determinati dati vengono trasferiti garantisce il rispetto degli standard di tutela previsti dalla normativa comunitaria in materia di protezione dei dati.
In assenza di tale riconoscimento, il trasferimento è comunque consentito se il titolare o il responsabile del trattamento forniscono le c.d. garanzie adeguate, ovvero: strumenti giuridicamente vincolanti e aventi efficacia esecutiva tra autorità pubbliche o organismi pubblici; clausole di protezione dei dati o clausole contrattuali standard; clausole di protezione dei dati adottate da un’autorità di controllo e approvate dalla Commissione e molto altro ancora.
Fuori da dette ipotesi il trasferimento è comunque ammissibile, ai sensi dell’art. 49 Reg. UE n.679/16, se sussistono alcune specifiche, ad esempio nel caso l’interessato che abbia prestato il proprio consenso dopo aver preso visione di un’adeguata informativa contenente i rischi di trasferimento in mancanza di decisione di adeguatezza o garanzie adeguate.
Il problema del trattamento dei dati personali negli Stati Uniti d’America: il Caso Schrems
Nel 2013 l’attivista Max Schrems decise di sporgere denuncia contro Facebook Ireland Limited innanzi al giudice austriaco, al fine di vietare a Facebook di trasferire i dati dall’Irlanda agli Stati Uniti.
L’attivista infatti, in detta occasione, affermò che l’azienda americana nel trasferire i dati verso paesi extra-UE, non rispettava gli standard europei in tema di riservatezza e protezione dei dati personali degli utenti.
Le criticità sollevate da Schrems furono sottoposte alla Corte di Giustizia dell’Unione Europea che in prima battura, nel 2015, emise la famosa sentenza denominata “Schrems I”, con la quale veniva impedito alle aziende americane di gestire i dati personali degli utenti europei su server americani e successivamente, nel 2020, pronunciò poi la sentenza “Schrems II” con la quale fu invalidato il cosiddetto Privacy Shield.
In pratica, la Corte di Giustizia dell’Unione Europea, attraverso quest’ultima sentenza, riconosceva l’inadeguatezza delle tutele offerte dal Privacy Shield in considerazione del fatto che le autorità di intelligence statunitensi avevano comunque un facile accesso ai dati personali degli utenti europei.
Oggi, però, le cose potrebbero evolversi verso una soluzione politica forse definitiva.
Elementi di rilievo del nuovo Executive Order in materia privacy
L’Executive Order firmato da Biden appena due mesi fa contiene due punti di rilievo meritevoli di interesse:
- vengono sostanzialmente ridefiniti i limiti di accesso ai dati personali dei cittadini europei da parte dell’intelligence statunitense che potrà venirne a conoscenza solamente al fine di garantire la sicurezza nazionale e comunque nel rispetto dei criteri di proporzionalità e di necessità;
- vi è la volontà di istituire un Tribunale del riesame della protezione dei dati, il “Data Protection Review Court” (DPRC), al quale potranno fare ricorso i cittadini non statunitensi, che sarà adibito ad indagare e a risolvere le controversie relative all’accesso ai propri dati da parte delle autorità di sicurezza nazionale statunitensi.
Il possibile impatto dell’Executive Order sul trattamento dei dati personali
Risulta evidente che con la firma di questo provvedimento gli Stati Uniti intendano in qualche modo avvicinarsi, in termini di tutela di accesso ai dati e di tutela del singolo, agli standard europei, tuttavia, la strada da percorrere è ancora molto lunga.
L’Executive Order è infatti solo il primo passo verso quello che sarà un nuovo accordo tra UE e USA; sul punto infatti la Commissione europea è infatti ora chiamata a redigere una “decisione di adeguatezza” ed interpellare il Comitato europeo per la protezione dei dati (EDPB).
Dall’ordine esecutivo del Presidente Biden al Trans-Atlantic Data Privacy Framework
I rapporti tra Stati Uniti ed Europa in tema di trasferimento dei dati personali non sono mai stati semplici. Questo è dovuto soprattutto a differenze molto profonde sul piano giuridico: gli Stati Uniti si caratterizzano infatti per un’attenzione molto forte per la sicurezza nazionale, la tutela dell’ordine pubblico e la prevenzione dei crimini; obiettivi che chiaramente implicano una massiccia attività di controllo sociale.
Nonostante tutto sembrano però esserci i margini per arrivare ad una soluzione condivisa.
La Commissione europea e gli Stati Uniti hanno infatti concordato un nuovo quadro per la privacy, il Trans-Atlantic Data Privacy Framework, che promuoverà i flussi transfrontalieri di dati e affronterà le questioni sollevate nella famosa sentenza Schrems II del luglio 2020.
Secondo i punti essenziali del nuovo accordo le agenzie di intelligence americane dovranno limitare l’accesso ai dati e adottare procedure per garantire un controllo efficace del rispetto dei nuovi standard di tutela.
In secondo luogo, dovrà essere previsto un sistema di ricorso a due livelli per l’esame e la risoluzione dei reclami dei cittadini europei sull’accesso ai dati da parte delle autorità di intelligence, con il coinvolgimento di un apposito Tribunale e anche per le aziende americane saranno previsti obblighi più stringenti nel trattamento dei dati arrivati dall’Europa.
L’Executive Order è quindi solo il primo passo ovvero il primo atto che recepisce sostanzialmente quanto detto sopra sui punti fondamentali del futuro accordo tra Unione Europea e Stati Uniti.