Il Comitato europeo per la protezione dei dati (Edpb) ha accolto con riserva il nuovo Data privacy framework (Quadro sulla privacy dei dati) destinato a fornire il quadro giuridico per i flussi di dati transatlantici (QUI IL DOCUMENTO). L’Edpb, in particolare, accoglie con favore i miglioramenti sostanziali, come l’introduzione di requisiti che incorporano i principi di necessità e proporzionalità per la raccolta di dati da parte dell’intelligence statunitense e il nuovo meccanismo di ricorso per gli interessati dell’Ue. Allo stesso tempo, esprime preoccupazioni e chiede chiarimenti su diversi punti. Questi riguardano, in particolare, alcuni diritti degli interessati, i trasferimenti successivi, la portata delle esenzioni, la raccolta temporanea di dati in massa e il funzionamento pratico del meccanismo di ricorso.
L’Edpb si dice quindi favorevole a subordinare non solo l’entrata in vigore, ma anche l’adozione della decisione all’adozione di politiche e procedure aggiornate per l’attuazione dell’Ordine Esecutivo 14086 da parte di tutte le agenzie di intelligence statunitensi. Al contempo raccomanda alla Commissione di valutare tali politiche e procedure aggiornate e di condividere la propria valutazione con l’Edpb stesso.
Revisioni ogni tre anni con il contributo dell’Edpb
“Pur riconoscendo che i miglioramenti apportati al quadro giuridico statunitense sono significativi, raccomandiamo di affrontare le preoccupazioni espresse e di fornire i chiarimenti richiesti per garantire la validità della decisione di adeguatezza“, ha dichiarato il presidente dell’Edpb Andrea Jelinek. “Per lo stesso motivo – ha aggiunto -, riteniamo che dopo la prima revisione della decisione di adeguatezza, le revisioni successive debbano avvenire almeno ogni tre anni e ci impegniamo a contribuirvi”.
Il Comitato, che riunisce le autorità di protezione dei dati dell’Ue, è stato istituito dal Regolamento generale sulla protezione dei dati (Gdpr) per fornire orientamenti e risolvere le controversie relative all’applicazione transfrontaliera. Tra i suoi compiti c’è anche quello di consigliare la Commissione europea sulle decisioni di adeguatezza dei dati, uno strumento che riconosce il regime di privacy di una giurisdizione straniera come adeguato agli standard di protezione dei dati dell’Ue.
Il nuovo framework
Nel marzo 2022, il presidente degli Stati Uniti Joe Biden e la presidente della Commissione europea Ursula von Der Leyen hanno annunciato un accordo di principio per ristabilire un quadro transatlantico per i flussi di dati, un accordo che la Corte di giustizia dell’Ue ha successivamente invalidato due volte.
L’accordo è stato attuato con la firma, da parte di Biden, di un ordine esecutivo volto a porre delle garanzie sui dati personali delle persone che sono sotto la giurisdizione dell’Ue, in particolare limitando l’accesso delle agenzie di intelligence e istituendo un meccanismo di ricorso.
La Corte dell’Ue ha invalidato il precedente scudo per la privacy nella storica sentenza Schrems II perché, come rivelato da Edward Snowden, le agenzie di intelligence statunitensi avevano un accesso sproporzionato ai dati personali dell’Ue senza che i cittadini europei avessero la possibilità di chiedere un risarcimento legale.
L’ordine esecutivo prevede che le attività di raccolta dei dati da parte delle agenzie di intelligence statunitensi possano essere svolte solo a fronte di obiettivi di sicurezza nazionale predefiniti e nel rispetto del principio di proporzionalità, della privacy e delle libertà civili delle persone. Il Civil Liberties Protection Officer (Clpo) è stato introdotto nell’Office of the Director of National Intelligence degli Stati Uniti per far rispettare proprio queste misure, verificare i reclami ed emettere decisioni vincolanti. Inoltre, è stata istituita una Corte di revisione della protezione dei dati all’interno dell’ufficio dell’Attorney General, l’equivalente statunitense del ministero della Giustizia europeo. Questo tribunale è destinato a fornire una revisione legale indipendente delle decisioni del Clpo.
Il parere dell’Edpb: un’opinione “influente”
Sebbene non sia giuridicamente vincolante, il parere del Comitato potrebbe essere molto influente, poiché il Data privacy framework sarà quasi certamente contestato in tribunale, dato che Max Schrems, l’attivista austriaco che ha fatto fallire i due accordi precedenti, ha già annunciato una nuova battaglia legale. Le autorità europee hanno espresso preoccupazioni in merito ad alcuni diritti degli interessati, ai trasferimenti successivi verso Paesi terzi, alla portata delle esenzioni al diritto di accesso, alla raccolta temporanea di dati in massa e al funzionamento pratico del meccanismo di ricorso.
Su quest’ultimo punto, Schrems ha anche messo in dubbio la natura indipendente del Tribunale per la revisione della protezione dei dati, poiché tecnicamente sarà sotto il marchio dell’esecutivo. A suo avviso, questa disposizione è solo un remake della figura dell’Ombudsperson che la Corte dell’Ue ha ritenuto inadeguata nel precedente verdetto.
Per contro, l’Edpb ritiene che il nuovo accordo rappresenti un miglioramento significativo rispetto al precedente, in quanto introduce maggiori garanzie per i cittadini dell’Ue e fornisce poteri più efficaci per rimediare alle violazioni.
Le criticità da monitorare
Tuttavia, le autorità europee hanno sottolineato che il funzionamento pratico del meccanismo di ricorso dovrà essere attentamente monitorato, insieme all’applicazione dei principi di necessità e proporzionalità recentemente introdotti. Inoltre, il Consiglio ha chiesto maggiore chiarezza in merito alla raccolta temporanea di massa, che il decreto esecutivo consente senza un ordine del tribunale, e alla conservazione e diffusione dei dati raccolti indiscriminatamente.
Gli osservatori europei della privacy hanno anche rilevato la somiglianza del nuovo Data privacy framework con il precedente Privacy shield, sottolineando come permangano alcune preoccupazioni relative all’assenza di definizioni critiche e alla mancanza di chiarezza sulle modalità di applicazione del framework alle organizzazioni che trattano dati personali.
Sono stati inoltre menzionati come punti di preoccupazione l’ampia esenzione dal diritto di accesso alle informazioni disponibili al pubblico, la mancanza di norme specifiche sul processo decisionale automatizzato e sulla profilazione e il rischio di compromettere le garanzie di protezione dei dati con il trasferimento a Paesi terzi.