USA-UE a che punto siamo? Potremmo dire domanda da un milione di dollari. Con il 7 ottobre data in cui Biden aveva rilasciato l’Executive Order (EO) n. 14086, si era pensato che finalmente stessimo vedendo la luce in fondo al tunnel che da ormai quasi tre anni sta rendendo un tormento la gestione del trasferimento estero dei dati verso gli USA a tutte le aziende europee.
Dove siamo?
Avevo precedentemente fatto un’ipotesi anche sulla base delle reazioni di Noyb, dicendo che probabilmente l’Europa non avrebbe sbugiardato se stessa e avrebbe dato una valutazione di adeguatezza al Framework battezzato quasi un anno fa nel viaggio di Biden in Europa. Che a quel punto Noyb avrebbe dato battaglia portando probabilmente a una Schrems III dall’esito da definire, ma ci sono dei ma…
La commissione LIBE
La Commissione per le libertà civili, la giustizia e gli affari interni del Parlamento europeo, LIBE appunto, è una commissione permanente del Parlamento europeo. Ha una serie di competenze in ambito della protezione delle libertà dei cittadini, del combattere le discriminazioni, della protezione delle persone fisiche con riguardo ai loro dati personali, del proteggere i diritti dei migranti e via così.
Come in tutti i parlamenti le commissioni sono insiemi ridotti di parlamentari che valutano la portata di alcuni provvedimenti legislativi. Sono profondamente implicate negli atti legislativi ordinari e nelle loro procedure di approvazione e quindi hanno un ruolo molto importante.
Cos’ha detto la Commissione?
In buona sostanza ha pubblicato il 14 febbraio 2023 un progetto di proposta di risoluzione in cui espone i motivi per i quali Parlamento e Commissione Europea non dovrebbero dare l’ok alla bozza di adeguatezza proposta dalla Commissione europea sullo scambio dei dati USA-UE.
Dopo aver velocemente ricordato che
che la tutela della vita privata e la protezione dei dati sono diritti fondamentali giuridicamente applicabili e sanciti dai trattati, dalla Carta e dalla Convenzione europea dei diritti dell’uomo
Afferma che pur riconoscendo lo sforzo degli USA:
- deplora il fatto che l’ordinanza esecutiva non vieti la raccolta generalizzata di dati da parte dell’intelligence dei segnali…
- sottolinea che l’ordinanza esecutiva non si applica ai dati consultati dalle autorità pubbliche con altri mezzi, ad esempio attraverso il Cloud Act statunitense o il Patriot Act statunitense…
- sottolinea che le decisioni del Tribunale per il riesame della protezione dei dati (“Tribunale”) saranno classificate e non saranno rese pubbliche o disponibili al denunciante…
- osserva che… i mezzi di ricorso disponibili per le questioni commerciali a norma della decisione di adeguatezza sono insufficienti…
- sottolinea che, a differenza di tutti gli altri paesi terzi che si sono dotati di una decisione di adeguatezza a norma del RGPD, gli Stati Uniti non dispongono ancora di una legge federale sulla protezione dei dati…
Insomma, tutte le obiezioni mosse da Noyb, l’associazione di Max Schrems, di cui avevamo precedentemente dato notizia.
L’EDPB
Il 28 febbraio lo European Data Protection Board (EDPB, il gruppo dei Garanti europei) ha fornito la sua Opinion 05/2023.
Vediamo i punti salienti. Si afferma, che la Commissione europea secondo quanto disposto dall’articolo 70 del GDPR ha richiesto un parere al Comitato (EDPB) relativamente alla bozza di adeguatezza rispetto al trasferimento verso gli USA dei dati personali dei cittadini europei.
The EDPB assessed both the commercial aspects and the access to and use of personal data transferred from the EU by public authorities in the US
L’EDPB ha preso in considerazione tutto quanto connesso ai diritti sanciti dalla Carta dei Diritti Fondamentali dell’Unione europea e dalla Convenzione Europea dei diritti dell’uomo
It also considered the right to an effective remedy and to a fair trial laid down in Article 47 of the Charter
Andiamo per punti e per sommi capi
- il Data Privacy Framework (DPF) USA-UE presenta una serie di eccezioni. Queste limitano i diritti dei soggetti interessati, l’EDPB suggerisce di rendere ben chiare le situazioni di esenzione;
- la struttura del DPF USA-UE è troppo complessa e di difficile comprensione;
- nonostante gli sforzi fatti, la struttura logica del DPF non si scosta a sufficienza dal Privacy Shield;
- permane il problema dei trasferimenti successivi nella catena dei sub fornitori, intonso. Qui viene richiesto alla Commissione di imporre salvaguardie aggiuntive che siano veramente efficaci ed effettive;
- relativamente alla IA viene rilevata un’estrema variabilità a seconda dei campi di applicazione che rende rischioso il trattamento;
- i meccanismi di riparazione nei riguardi dei cittadini europei sono gli stessi che nel Privacy Shield;
- il meccanismo secondo il quale vengono limitati allo stretto necessario gli accessi dalle agenzie statunitensi è stato controllato dalla Commissione, ma non è stato verificato che tutte le agenzie in questione lo abbiano adottato nei loro regolamenti interni;
- ci sono punti da chiarire rispetto agli standard richiesti dalla Corte di Giustizia dell’UE e della Corte Europea dei Diritti dell’Uomo;
- nel DPF USA-UE a un certo punto si parla di importazioni massive temporanee di dati (per le quali si nota l’assenza di un permesso dato da un’autorità indipendente), su questo punto è richiesto un ulteriore approfondimento;
- sebbene le due situazioni, europea e statunitense, non possano essere identiche, l’EDPB ritiene che le garanzie su tutto il ciclo della sicurezza dei dati necessitino di un approccio olistico attualmente non presente;
- sebbene i principi di necessità e proporzionalità siano stati introdotti nel EO 14086, si deve prima di dare un parere verificare la loro applicazione pratica e si suggerisce anche quale organismo potrebbe eseguire le verifiche del caso.
Tutto deciso quindi?
Non ancora, sebbene restino i punti critici. Da un lato, alla Commissione sono stati forniti spunti molto grossi di riflessione nella valutazione dell’adeguatezza. Dall’altro, qualora la Commissione dovesse dire “va bene approviamo lo stesso e poi diamo tempo agli USA di mettersi a posto“, sappiamo già che scatterebbe Schrems a chiedere l’ennesima sospensiva.
Quindi, forse, varrebbe la pena fermare un attimo tutto il meccanismo adesso, revisionare tutto per bene e poi valutare di nuovo la situazione. Dubito che si seguirà questa via, piuttosto immagino che saranno ancora le aziende europee a doversi sobbarcare tutti gli oneri e i rischi di certune decisioni.
Ma anche di questo ho detto ampiamente in altri scritti.
Effetto boomerang
Questo problema lo evidenziammo all’alba della sentenza Schrems II, mettendo in evidenza come questo discutibile modo di gestire un problema così complesso, scaricando sulle imprese un problema molto più grande di loro, poteva avere una ricaduta molto grave.
Avrebbe potuto far perdere autorevolezza a una norma, il GDPR, che il mondo ci ha sostanzialmente copiato, tanto bene era fatta.
Un simile effetto renderebbe vani tutti gli sforzi fin qui fatti da tutti (legislatori, operatori di settori e specialisti, aziende) per dare il giusto peso alla protezione delle persone fisiche e ai loro dati personali.