Lo scorso dicembre, dopo un periodo di intensi negoziati, ha preso il via il processo di adozione della nuova decisione di adeguatezza per il trasferimento dei dati dall’Unione Europea verso gli Stati Uniti, a seguito della pubblicazione della bozza di decisione, datata 13 dicembre, e l’invio della stessa allo European Data Protection Board per l’elaborazione di un parere.
Dopo l’invalidazione del precedente accordo tra USA e UE ad opera della decisione della Corte di Giustizia Europea Schermes II del luglio 2020, i due Paesi hanno cercato un’intesa che permettesse di ricondurre il trasferimento dei dati personali dall’Unione Europea verso gli Stati Uniti alla fattispecie di cui all’art. 45 del Reg. (UE) 2016/679 (di seguito, per brevità, Regolamento), sanando i profili critici emersi dalla summenzionata decisione della CGUE e delineando un privacy framework idoneo a garantire, negli USA, un “livello di protezione adeguato”, ossia sostanzialmente equivalente a quello assicurato dalla normativa europea.
La bozza pubblicata il mese scorso è il risultato di questi sforzi e fa seguito, almeno per quanto riguarda alcune tematiche, a un ordine esecutivo firmato dal Presidente statunitense Joe Biden ad ottobre 2022, che introduceva una serie di limitazioni al potere d’accesso ai dati personali da parte delle autorità statunitensi e contestuali garanzie e tutele per i soggetti interessati. Come noto, il tema dell’ingerenza delle agenzie di intelligence americane nei dati personali, in particolare per finalità di sicurezza nazionale o applicazione del diritto penale, era stato particolarmente attenzionato dalla CGUE nella decisione Schermes II, che individuava l’estensione di tali poteri, congiuntamente alla scarsità di diritti azionabili in sede giudiziaria dai soggetti interessati nei confronti delle autorità statunitensi, come una limitazione al diritto alla protezione dei dati personali, che non permetteva di riconoscere agli USA un livello di protezione adeguato rispetto a quello garantito in Europa. Le misure anticipate nell’Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities vengono riprese nel nuovo accordo UE-USA, lo EU-U.S. Data Privacy Framework (di seguito, per brevità, EU-U.S. DPF), e includono, ad esempio, la soggezione delle agenzie di intelligence statunitensi al principio di proporzionalità e adeguatezza nell’esercizio dei loro poteri di accesso ai dati provenienti dall’UE, anche e soprattutto se le finalità sono di sicurezza nazionale, o la possibilità per il soggetto interessato di usufruire, tra i vari meccanismi di revisione e ricorso, della nuova Data Protection Review Court, un tribunale imparziale e indipendente innanzi al quale far valere eventuali violazioni dei propri dati personali nella raccolta e nell’utilizzo di essi da parte delle autorità statunitensi, per ottenere un risarcimento. Tali, ed altre, misure si applicheranno non solo ai trasferimenti basati sulla decisone di adeguatezza, ma anche a quelli che utilizzano diverse basi giuridiche, come le standard contractual clauses o le binding corporate rules.
Il sistema delineato dal nuovo accordo per promuovere la sicurezza del trasferimento transatlantico di dati, però, non si esaurisce nelle misure per limitare le interferenze delle autorità pubbliche. L’accordo prevede infatti un meccanismo di certificazione che richiede alle organizzazioni che vogliano ricevere i dati sulla base della decisione di adeguatezza il rispetto di una serie di principi e obblighi, la soggezione ai poteri di controllo ed enforcement dello U.S. Department of Transportation o della Federal Trade Commission e una ri-certificazione annuale sulla base della verifica dell’effettiva osservanza delle obbligazioni assunte. Il rispetto dello EU-U.S. DPF, secondo la Commissione, garantisce un livello adeguato di protezione dei dati personali trasferiti dall’UE ad un’organizzazione negli Stati Uniti, qualificabile come titolare o responsabile del trattamento nei termini del Regolamento, che ha certificato la sua aderenza all’accordo, permettendo così il trasferimento dei dati senza ulteriori autorizzazioni. Tra i principi da rispettare nel trattamento transatlantico dei dati personali, elencati all’Allegato I della bozza, si nominano il principio di integrità dei dati e limitazione delle finalità del trattamento, il principio di accesso, che riconosce in capo all’interessato il diritto di accesso alle informazioni sul proprio conto detenute dal titolare e di ottenerne la correzione, modifica o cancellazione nel caso di dati inesatti, il principio di “recourse, enforcement and liability”, che elenca una serie di misure minime da adottare nell’ambito dei meccanismi di compliance e ricorso che devono essere implementati per assicurare l’effettiva protezione dei dati trattati. Una serie di “Principi Supplementari” completa l’elencazione di cui all’Allegato I, trattando nello specifico alcuni casi particolari, come quello di dati relativi a prodotti farmaceutici o medici e alla ricerca scientifica relativa, ma anche, tra il resto, specificando alcune modalità pratiche di attuazione dei principi e obblighi enunciati in precedenza.
Il nuovo accordo tra USA e UE per il trasferimento dei dati personali, che vuole fare tesoro degli insuccessi e delle criticità dei precedenti tentativi, prova dunque ancora una volta a tutelare i dati provenienti dall’UE con una serie di previsioni finalizzate ad avvicinare il più possibile la disciplina estera a quella europea, seppur in un contesto, specialmente sul versante pubblicistico, segnato da differenze che hanno richiesto modifiche e adattamenti ad un accordo ormai prossimo all’adozione.