La scorsa settimana è stata ricca di avvenimenti. Il 25 marzo la Commissione europea e la Presidenza degli Stati Uniti hanno annunciato di aver raggiunto un accordo “di principio” per il trasferimento dei dati personali. Poco prima, nella serata di giovedì 24 marzo, il Parlamento europeo e il Consiglio avevano trovato un’intesa sul testo del Digital Markets Act.
Quanto all’accordo per il trasferimento dei dati personali, si tratta del primo passo verso l’adozione di una decisione di adeguatezza da parte della Commissione europea, uno snodo fortemente atteso tra gli operatori del mercato, le grandi Big Tech statunitensi ma non solo.
Come è noto, il Regolamento (UE) 679/2016, il c.d. GDPR, prevede che i trasferimenti di dati personali verso paesi terzi o verso un’organizzazione internazionale siano consentiti a condizione che l’adeguatezza del paese terzo o dell’organizzazione sia riconosciuta tramite decisione della Commissione europea. In assenza di una decisione, il trasferimento è consentito se il titolare o il responsabile del trattamento forniscono garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati. Possono costituire garanzie adeguate, ad esempio, le norme vincolanti d’impresa o le standard data protection clause. In assenza di ogni altro presupposto, è possibile trasferire i dati personali in base ad alcune deroghe connesse al determinarsi di specifiche condizioni, individuate all’art. 49 del Regolamento.
Attualmente, una decisione della Commissione europea relativa all’adeguatezza degli Stati Uniti come paese destinatario dei dati personali degli europei non c’è. La decisione 2000/520/CE basata sui principi c.d. del “safe harbor”, prima, e la decisione 2016/1250 fondata sul regime del “privacy shield”, poi, sono state invalidate dalla Corte di Giustizia europea con due storiche sentenze perché non garantivano un livello di protezione adeguato.
La vicenda è quanto mai nota. I rinvii pregiudiziali traevano origine dai ricorsi presentati dall’ormai celebre attivista Maximillian Schrems, che nel 2013 si rivolgeva al Garante per la protezione dei dati personali irlandese affinché sospendesse il trasferimento dei suoi dati personali dall’Europa verso gli Stati Uniti operato da Facebook. Le rivelazioni di Edward Snowden avevano da poco portato alla luce i programmi di sorveglianza di massa della National Security Agency e, denunciava Maximillian, il diritto e la prassi vigenti negli Stati Uniti non offrivano protezione sufficiente ai dati personali contro le attività di controllo delle autorità pubbliche.
Il 25 marzo abbiamo appreso che è stata raggiunta un’intesa “di principio” per il nuovo “Trans-Atlantic Data Privacy Framework”.
Secondo il fact sheet della Commissione europea, gli impegni assunti dagli Stati Uniti confluiranno in un executive order, che costituirà la base per l’adozione da parte della Commissione di una bozza di decisione di adeguatezza.
Il fact sheet descrive anche i principi chiave del nuovo framework, ma per saperne di più occorre attendere il testo giuridico definitivo. Ad avviso della Commissione, comunque, l’impegno assunto dagli Stati Uniti per rafforzare la protezione dei dati personali nei confronti delle attività di intelligence “non ha precedenti”.
Non si è fatto attendere il commento di Schrems, che già prospetta l’eventualità di un terzo intervento della Corte di Giustizia.
Giova forse ricordare che nel 2021 la Corte Suprema austriaca ha proposto un rinvio pregiudiziale alla Corte di Giustizia nell’ambito di un procedimento che vede Schrems e Facebook tornare a scontrarsi in materia di protezione dei dati personali. Questa volta nel mirino dell’attivista austriaco c’è la legittimità del trattamento di dati personali realizzato da Facebook per mostrare agli utenti contenuti pubblicitari personalizzati. Sembra proprio, dunque, che un altro capitolo della saga Schrems vs Facebook stia comunque per essere scritto.
Il Comitato europeo per la protezione dei dati (EDPB), dal canto suo, ha dato il benvenuto all’accordo raggiunto e ha colto l’occasione per sottolineare che il nuovo quadro per il trasferimento dei dati personali dovrà rispettare i requisiti individuati dalla Corte di Giustizia.
Ma, come anticipato, c’è un’altra novità: a poco più di un anno di distanza dalla proposta della Commissione, il Parlamento europeo e il Consiglio sono giunti ad un accordo sul testo del Digital Markets Act, l’iniziativa legislativa volta a garantire un mercato unico per i servizi digitali equo e contendibile.
Il Regolamento introdurrà nuovi obblighi e divieti per le piattaforme on line di grandi dimensioni che esercitano una funzione di controllo dell’accesso, i c.d. “gatekeeper”.
Secondo il comunicato stampa del Parlamento europeo, il testo approvato il 24 marzo prevede che siano qualificati tali gli operatori con un fatturato di almeno 7,5 miliardi di euro, o con una capitalizzazione di mercato di almeno 75 miliardi di euro, che offrano servizi quali motori di ricerca, social media, browser, app store, assistenti vocali, pubblicità on line, ad almeno 45 milioni di utenti finali mensili e 10.000 utenti business annuali. La soglia di fatturato e di capitalizzazione di mercato risultano innalzate rispetto alla proposta della Commissione.
Anche in questo caso bisognerà attendere il testo definitivo. Di certo, si tratta di uno dei principali tasselli dell’impianto regolatorio in materia di digitale che l’Unione si prepara ad adottare, destinato ad avere importanti ricadute anche sugli operatori statunitensi.