Studio Legally
Via Grazioli 106 - Trento
Email: info@studiolegally.com
Telefono: +39 0461 233175
Razmik Vardanian
06 Giu 2023

Privacy EU-USA: i nuovi sviluppi per il trasferimento di dati negli Usa. L’intervento dell’EDPB e del Parlamento Europeo

Privacy​

Lo scorso 28 febbraio, l’European Data Protection Board ha adottato il parere 05/2023 sul progetto della decisione di adeguatezza della Commissione UE relativa al EU-US Data Privacy Framework. Come precisato nel nostro precedente articolo Privacy UE-USA: le tappe e lo stato dell’arte a febbraio 2023, il DPF si pone in diretta successione al precedente accordo Privacy Shield, invalidato nel 2020 dalla CGUE con la sentenza Schrems II.

Il DPF si compone al suo interno di una serie di principi cardine che, mutuati dalla disciplina europea, dovrebbero assicurare un livello di protezione dei dati sostanzialmente equivalente a quello garantito nell’UE. Il nuovo Framework, tuttavia, sarà applicato solamente dalle organizzazioni statunitensi che, rientrando nella giurisdizione della Federal Trade Commission o del Department of Transports, si siano autocertificati secondo i requisiti contenuti nel DPF.

Con il proprio parere, l’EDPB offre importanti valutazioni sulla comprensione del livello di protezione dei dati personali garantito, attualmente, negli USA e, in particolare, se questo possa essere considerato sostanzialmente equivalente a quello assicurato nell’UE dal GDPR.

Il Board ha accolto con favore i miglioramenti sostanziali intercorsi nella legislazione statunitense, quali l’introduzione di requisiti che incorporano i principi di necessità e proporzionalità per la raccolta di dati da parte delle agenzie di intelligence degli Stati Uniti e il nuovo meccanismo di ricorso per gli interessati dell’UE.

Si riscontrano, inoltre, dei miglioramenti nella disciplina nazionale dei singoli Stati inerente alla data protection: California, Colorado, Connecticut, Virginia e Utah, infatti, hanno adottato, o sono in procinto di adottare, una propria legge sulla privacy; inoltre, sono iniziate le discussioni parlamentari per una nuova legge federale sulla privacy e protezione dei dati personali (American Data Privacy and Protection Act).

Allo stesso tempo, l’EDPB ha espresso diverse preoccupazioni su alcuni punti chiave della disciplina, le cui criticità sono riassumibili in tre punti:

  1. Effettività dei diritti degli interessati;
  2. Funzionamento pratico dei meccanismi di ricorso;
  3. presenza di garanzie adeguate in caso di trattamento effettuato dalle agenzie federali di intelligence (criticità che ha sempre contraddistinto le valutazioni sull’adeguatezza del sistema statunitense).

Nel suo parere, l’EDPB ha preso in considerazione sia le implicazioni sui dati personali dei cittadini europei derivanti dalle attività commerciali, che l’accesso e l’uso, degli stessi, da parte delle autorità pubbliche degli Stati Uniti.

Il trattamento ‘commerciale’ dei dati personali negli USA

Per quanto riguarda gli aspetti commerciali, l’EDPB accoglie con favore una serie di aggiornamenti apportati ai principi DPF. Pur essendo basato su un sistema di autocertificazione (e NON certificazione, come identificato dalla Commissione UE), la presenza di un controllo sistematico sul processo di autocertificazione, il monitoraggio sul rispetto dei principi del DPF da parte delle imprese e l’accertamento delle false partecipazioni al DPF, da parte della FTC, determinano notevoli miglioramenti rispetto alla disciplina previgente (basata sempre su un meccanismo di autocertificazione). Tuttavia, l’Autorità europea osserva che numerosi principi e concetti sono rimasti, sostanzialmente, gli stessi del Privacy Shield. Di conseguenza, permangono alcune preoccupazioni inerenti:

  • alle esenzioni e limitazioni al diritto di accesso degli interessati: l’applicazione dei principi del DPF da parte delle organizzazioni certificate, infatti, può essere limitato (i) per ordine di un’autorità giudiziaria o per soddisfare un interesse pubblico, l’applicazione della legge o finalità di sicurezza nazionale e (ii) per legge, provvedimenti giudiziali, o da regolamenti governativi che creino autorizzazioni esplicite. L’EDPB constata che, in assenza di una conoscenza completa della normativa statunitense, sia dal livello federale che nazionale, è difficile stabilire la portata delle esenzioni preindicate e, di conseguenza, l’effettività del livello di protezione per i dati degli interessati europei, con conseguenti ricadute sui loro diritti e libertà.
  • All’assenza o imprecisione di alcune definizioni chiave: vi è, infatti, una confusione fra i considerando e i principi del DPF in ordine alla terminologia dei titolari e responsabili del trattamento, con conseguenti ricadute nell’ottica di una precisa specificazione dei ruoli e della responsabilità e alla definizione e delineazione dei principi di limitazione delle finalità e sicurezza dei dati.
  • All’effettività del diritto di accesso ai propri dati personali: nel DPF, i diritti degli interessati di accesso, rettificazione e cancellazione sono raggruppati all’interno del ‘Principio di Accesso’. L’EDPB evidenzia che il medesimo principio era contenuto anche nel Privacy Shield, pertanto permangono le criticità che, all’epoca, erano stata segnalate in merito al meccanismo di trasferimento dei dati. Inoltre, il Comitato sottolinea l’opportunità nel ‘Principio di Accesso’ l’obbligo delle organizzazioni DPF di dover rispondere alle richieste di accesso degli interessati.

In relazione alla lista di eccezioni previste al diritto di accesso, il Board evidenzia come queste siano inclini a favorire gli interessi delle organizzazioni rientranti nel DPF, con conseguente pregiudizio dei diritti e libertà degli interessati. Una fra queste è l’eccezione per le informazioni già pubblicamente disponibili: al riguardo, l’EDPB ha fermamente sottolineato come il diritto di accesso dovrebbe essere sempre garantito, indipendentemente dal fatto che i dati personali siano stati pubblicati o meno. Infatti, qualora le richieste di accesso siano respinte in quanto i dati sono stati ottenuti da fonti accessibili al pubblico o da documenti pubblici, gli individui perderebbero la capacità di controllare l’accuratezza dei dati e, soprattutto, se i propri dati siano stati legalmente resi pubblici.

  • All’effettività del diritto di opposizione: con il ‘Principio di Scelta’, il DPF prevede il diritto di opporsi alla divulgazione di informazioni personali a terzi o all’uso di informazioni personali per uno scopo diverso rispetto a quello per cui i dati erano stati originariamente trattati. Inoltre, gli individui possono beneficiare del diritto di opposizione ove i propri dati personali siano trattati per finalità di marketing diretto. Sul punto, il Comitato ritiene che il semplice riferimento all’esistenza del diritto di opposizione non possa essere sufficiente, ma è necessaria un’indicazione precisa della sua sussistenza, con la precisazione che questo possa essere esercitato sempre ed in ogni momento, indipendentemente da divulgazioni, riutilizzo o altri trattamenti per finalità di marketing.
  • Alla mancanza di norme e tutele specifiche in relazione a procedimenti decisionali basati su trattamenti automatizzati e in tema di profilazione: il GDPR prevede che le decisioni basate su procedimenti automatizzati che possano produrre effetti legali, o comunque significativi, sui diritti degli interessati, possono avere luogo solo a certe condizioni e in presenza di garanzie adeguate. Questi fondamenti, tuttavia, sono del tutto assenti nel DPF. L’EDPB, infatti, ha riscontrato l’assenza di qualunque garanzia per gli interessati che possano essere soggetti a decisioni automatizzate. Secondo la Commissione, l’assenza di misure specifiche nel DPF è improbabile che infici il livello di protezione assicurato negli USA perché, generalmente, le decisioni automatizzate capaci di produrre effetti incisivi sugli interessati si produrrebbero in UE. Giustamente, l’EDPB contesta tale considerazione, evidenziando come non possa essere totalmente escluso che un titolare del trattamento, con sede negli USA, possa adottare una decisione basata unicamente sul trattamento automatizzato dei dati trasferiti capace di produrre effetti incisivi sull’interessato (ad esempio nel contesto lavorativo, imprenditoriale, sanitario, assicurativo e bancario).

Anche se la legislazione statunitense prevede alcune tutele contro le decisioni automatizzate in specifici campi, l’EBPB ritiene che nel DPF debbano essere inserite delle regole applicabili per ogni trattamento, al fine di assicurare sufficienti garanzie per l’interessato, fra cui il diritto di essere informato della decisione automatizzata, di contestare la decisione e di ottenere un intervento umano, ove la decisione produca effetti rilevanti per esso.

Per quanto riguarda i trasferimenti successivi dei dati presso paesi terzi, l’EDPB ha inteso ribadire che il livello di protezione non deve essere compromesso. Pertanto, le organizzazioni soggette al DPF sono onerate di verificare se la legislazione sulla protezione dei dati personali dello stato del terzo importatore sia adeguata a quella del DPF (e in via derivata di quella europea). In ogni caso, il trasferimento non deve risolversi in una degradazione delle tutele e dei diritti garantiti agli interessati. Sul punto, pertanto, il Comitato ha invitato la Commissione a chiarire le garanzie da imporre all’importatore statunitense dei dati, verso l’esportazione nel paese terzo, per salvaguardare i diritti degli interessati.

Per quanto riguarda i meccanismi di ricorso azionabili, il DPF prevede sette strade perseguibili dagli interessati dell’UE, per tutelare i propri diritti dai trattamenti illeciti. In generale, questi rimangono gli stessi che erano presenti nel Privacy Shield, pertanto non saranno oggetto di analisi dell’odierno articolo. Ciononostante, è necessario sottolineare, seppur sommariamente, alcune criticità che l’EDPB ha riscontrato anche su questo tema:

  • dato che il meccanismo di arbitrato non è disponibile ove siano previste delle eccezioni all’applicazione dei principi del DPF, vi è il problema di comprendere la portata e lo scopo di tali eccezioni nel diritto statunitense, sia a livello federale che nazionale, nonché l’impatto di queste eccezioni sul livello di protezione degli interessati;
  • per quanto riguarda la possibilità, in alcuni casi, per gli interessati, di presentare i propri reclami a un’autorità di protezione dei dati dell’UE, l’EDPB ha sollevato la necessità di chiarire questo meccanismo di cooperazione e, in particolare, se: (i) le ‘consulenze’ delle autorità di protezione dei dati dell’UE sulle misure correttive o compensative adottabili, possano includere anche la raccomandazione di sanzioni e l’uso di poteri investigativi; (ii) in che misura le azioni dei Garanti Europei possano essere prese in considerazione come prova nell’ambito dei procedimenti ispettivi della FTC.

In ogni caso il Board valuta positivamente la presenza di meccanismi giurisdizionali previsti per la tutela delle posizioni degli interessati europei, nonché la dichiarazione della FTC di voler lavorare a stretto contatto con le autorità nazionali di controllo europee al fine di garantire una tutela e protezione uniforme tra gli USA e l’UE.

Le attività delle agenzie di intelligence sui dati personali europei

Per quanto riguarda l’accesso e l’utilizzo dei dati europei da parte delle autorità governative degli USA, e, in particolare, in tema dei trattamenti effettuati dalle agenzie di intelligence, l’EDPB riconosce i significativi miglioramenti apportati da Executive Order (EO) 14086. L’EO-14086, infatti, riflette nell’ordinamento statunitense i concetti ribaditi nella sentenza Shrems II, ossia che i trattamenti siano compiuti seguendo i principi di necessità e proporzionalità. Nello specifico, in relazione ad una serie di obiettivi strategici stabiliti nel DPF (che costituiscono le finalità per cui è ammessa la raccolta di dati dalle autorità), le attività di intelligence devono essere condotte solo nella misura necessaria e in modo proporzionato alla priorità assegnata alle attività stesse. Sulla base dell’EO-14086, questi principi dovranno essere implementati nelle policy di ogni agenzia di intelligence, pertanto, come sottolineato dall’EDPB, bisognerà attendere la concreta attuazione di tali principi per poter compiere un’effettiva valutazione in merito.

Permangono, invece, diverse criticità circa la possibilità delle agenzie di effettuare raccolte massive di dati personali. Anche se l’EO-14086 prevede per principio la preferenza verso le raccolte mirate di dati rispetto alla raccolta in massa, l’EDPB ha espresso la propria preoccupazione per l’assenza di un obbligo di preventiva autorizzazione, da parte di un’autorità indipendente, per il trattamento massivo e per l’assenza di controlli ex post da parte dell’autorità giudiziaria o di altra autorità indipendente. Pur riconoscendo che, anche nel sistema europeo, la raccolta in massa di dati non sia vietata (come anche attestato dalla CGUE con la sentenza Shrems II), l’EDBP ritiene che la stessa debba essere soggetta a criteri e garanzie adeguate che permettano di tutelare i diritti e le libertà degli interessati, particolarmente messi a rischio in sede di raccolta indiscriminata di dati personali. Segnatamente, i principi che il Board suggerisce sono:

  1. la raccolta massiva dev’essere necessaria per il raggiungimento di una finalità precisa (limitazione delle finalità);
  2. la raccolta di massa di dati dev’essere previamente autorizzata da un’autorità indipendente;
  3. devono essere implementate regole precise per la raccolta e la conservazione dei dati;
  4. dev’essere impedita ogni possibile diffusione dei dati raccolti.

Per quanto riguarda il meccanismo di ricorso, l’EDPB constata positivamente che l’EO-14086 abbia stabilito dei diritti in capo agli interessati, assicurato (maggiori) garanzie di indipendenza alla Data Protection Review Court e garantito più poteri effettivi nell’ambito delle azioni a disposizione degli interessati a fronte di eventuali violazioni. Anche tale meccanismo, però, suscita critiche in relazione ai possibili riscontri di tale Corte, ove ad esempio non accerti la sussistenza di una violazione o ritenga che non sia necessaria alcuna riparazione in ordine al trattamento di dati illegittimo, e all’inappellabilità delle sue decisioni da parte degli interessati.

Conclusioni e ulteriori sviluppi

In conclusione, visto il parere del EDPB, è da ritenere che l’ordinamento statunitense non abbia ancora raggiunto un livello minimamente adeguato al rispetto dei diritti fondamentali e dei dati personali dei cittadini europei. Anche ove venisse adottata la decisione di adeguatezza, questa sarebbe senz’altro oggetto di forti critiche e non è inimmaginabile prevedere un nuovo intervento della CGUE sul punto.

A ciò, si aggiunga anche che già la Commissione per le Libertà Civili, la Giustizia e gli Affari interni del Parlamento europeo (c.d. LIBE), lo scorso 14 febbraio 2023, ha espresso il proprio parere negativo sulla bozza di decisione di adeguatezza della Commissione, mentre recenti sviluppi hanno aggravato il dibattito sul Data Protection Framework:

Il Parlamento Europeo, l’11 maggio 2023, ha varato una risoluzione (306 voti a favore, contro 27, con 231 astensioni) con cui invita la Commissione a non adottare il progetto di decisione di adeguatezza relativo al UE-USA DPF. Pur riconoscendo i miglioramenti rispetto al precedente regime, il DPF non garantisce garanzie sufficienti per il trattamento dei dati personali dei cittadini europei, permettendo raccolte massicce di dati in diversi casi, senza la previa autorizzazione di un’autorità indipendente e senza chiare regole sulla data retention. Ponendosi in linea con il precedente parere della Commissione LIBE, i Parlamentari europei hanno evidenziato, in primo luogo, che le decisioni di adeguatezza dovrebbero essere fondate sull’applicazione pratica e concreta delle regole sulla protezione dei dati personali nel paese terzo, cosa che è attualmente è impossibile fare negli USA, in quanto le agenzie di intelligence devono ancora sviluppare le prassi e policies prescritte dall’EO-14086. In secondo luogo, il Parlamento Europeo sottolinea l’inadeguatezza del DPF non solo rispetto all’attuale normativa europea, ma anche rispetto alle esigenze future (n.d.r. come all’intelligenza artificiale);

Infine, il 22 maggio 2023, il Data Protectrion Commission (DPC – l’autorità Garante irlandese per la protezione dei dati personali) ha adottato un provvedimento sanzionatorio nei confronti di Meta Ireland del valore di € 1.2 miliardi, ordinando, altresì, di interrompere ogni futuro trasferimento di dati negli USA entro 5 mesi dall’adozione della decisione, o di conformare le proprie operazioni agli strumenti e garanzie presenti nel Capo V del Regolamento. La natura di questa sanzione è data dall’illecito trasferimento di dati personali trattati mediante Facebook verso gli USA e, in particolare, dalla violazione dell’art. 46, par. 1, del GDPR. Nonostante Meta avesse basato i propri trasferimenti sulla base delle standard contractual clauses adottate dalla Commissione nel 2021, e su misure supplementari, l’Autorità ha riscontrato come queste non siano sufficienti per garantire una protezione dei dati personali dei cittadini europei adeguata. Il procedimento di accertamento condotto dal DPC ha avuto il coinvolgimento di tutte le altre Autorità di Controllo Europee e del EDPB. L’intervento di quest’ultimo si è reso necessario dal conflitto tra le Autorità Europee nel decidere se il DPC avrebbe dovuto irrogare, oltre agli ordini sopra citati, anche una sanzione pecuniaria o meno, determinando, con la decisione 1/2023, i criteri in base ai quali quantificare la sanzione.

Meta ha già annunciato che intenderà contestare il provvedimento sanzionatorio presso i tribunali irlandesi (su cui presumibilmente si pronuncerà anche la Corte di Giustizia), tuttavia non si può non evidenziare come questa decisione alimenti le incertezze in tema di trasferimenti di dati personali UE-USA con la contraddizione che, nonostante le GAFAM (le più rappresentative tra le big tech) siano state oggetto di molteplici provvedimenti sanzionatori, numerose imprese europee continuano fare affidamento sui loro servizi, siti, spesso, su server localizzati negli USA.

La questione del trasferimento transfrontaliero di dati negli USA rimane ancora oggi spinosa, e dalla stessa, allo stato attuale, nessuno sa come uscirne con le attuali norme e misure soprattutto a fronte dell’incompatibilità tra le norme statunitensi e quelle europee per la protezione dei dati personali. Tuttavia, in attesa del Data Protection Framework, che pur potrebbe non risolvere il problema, non si può che fare stringente riferimento alle misure previste dagli artt. 46 e successivi del GDPR.