In data 16 luglio 2020 la Corte di giustizia dell’Unione europea si pronunciò (con la celebre “Sentenza Schrems II“) in merito al regime di data transfer (trasferimento dei dati) tra l’Unione europea e gli Stati Uniti d’America invalidando la decisione di adeguatezza del Privacy Shield la quale era stata adottata nel 2016 dalla Commissione europea (in seguito alla decadenza dell’accordo Safe Harbor).
La sentenza introdusse, dunque, una valutazione di non adeguatezza degli USA rispetto alla tutela dei dati personali e ne seguirono anni di obiettiva difficoltà per i Titolari del trattamento sui quali ricadde il peso della difficile scelta tra continuare ad utilizzare tutti quei numerosi (e preziosi!) servizi tecnologici che avevano sino ad allora utilizzato comportanti trasferimento di dati al di fuori dello spazio economico europeo (in spregio alla sentenza) oppure cessarne l’uso, con indubbi svantaggi e disservizi, talvolta neppure rimediabili.
Intervenne, ad ottobre del 2022, l’executive order del Presidente Joe Biden con il quale gli Stati Uniti d’America rispondevano alle due grandi indicazioni fornite dalla Corte di Giustizia con la sentenza Schrems II: 1) l’introduzione, all’interno del sistema giuridico americano, dei criteri di necessità e proporzionalità per quanto concerne le attività di sorveglianza da parte delle agenzie statunitensi; 2) l’introduzione di un meccanismo di ricorso da parte del cittadino europeo qualora questo ritenga di esser stato assoggettato ingiustamente ad attività di sorveglianza. I concetti di necessità e proporzionalità sono concetti cui l’Europa è da sempre abituata ma che non sono, invece, propri del mondo giuridico statunitense e che pertanto di USA hanno accettato di accogliere al fine di andare incontro alle richieste della Commissione europea, ed altrettanto dicasi per quanto concerne l’idea di attribuire al cittadino europeo la possibilità/il diritto di ricorrere ad un giudice al fine di veder riconosciuti i propri diritti in ambito privacy.
L’executive order del 2022 è stato il risultato di una dura negoziazione, la traduzione statunitense dell’accordo di principio raggiunto qualche mese prima dagli USA con la Commissione europea e che aveva come obiettivo proprio quello di soddisfare i requisiti posti dalla Corte di Giustizia europea con la sentenza Schrems 2 lavorando sulle criticità che la Corte stessa aveva individuato e che riguardavano in particolare, come detto, la conformità dell’attività di intelligence americana ai principi di necessità e proporzionalità e la questione dell’accesso ad un giudice americano da parte del cittadino europeo per tutelare il propri diritti in materia di privacy.
L’executive order, tuttavia, era solo un evento giuridico che si registrava all’interno di un ordinamento straniero: in mancanza della decisione di adeguatezza della Commissione europea, nei rapporti UE-USA non cambiava nulla.
Dopo 3 anni dalla sentenza della Corte di Giustizia europea con cui era stata dichiarata nulla la precedente decisione di adeguatezza (cioè quella sul Privacy Shield) il 10 luglio 2023 è giunta la nuova decisione di adeguatezza della Commissione europea: gli USA tornano così ad essere un Paese che l’UE considera quale “approdo sicuro” per i dati personali dei cittadini europei, un ordinamento in cui non vigono le stesse regole vigenti in UE ma regole comunque considerate sostanzialmente equivalenti. L’equazione – che vale all’interno dell’UE – secondo cui non importa in quale Paese UE stiano i dati perché l’Interessato può comunque contare su uguali garanzie dal punto di vista del proprio diritto alla privacy, ora vale anche per i dati esportati negli USA. Sicché ad oggi, anche quando i dati sono dall’altra parte dell’Oceano, negli USA, a valle della nuova decisione di adeguatezza della Commissione europea – che è stata battezzata come Privacy Framework – possiamo ritenere che tali dati godano di una tutela analoga e di garanzie analoghe a quelle di cui godrebbero in UE per mezzo del GDPR.
L’Interessato europeo si trova così ad avere a disposizione una “cassetta degli attrezzi” con cui poter difendere i propri diritti che ieri certamente non aveva: qualora le agenzie di intelligence statunitensi trattassero abusivamente i suoi dati personali egli avrà infatti la possibilità di far valere i suoi diritti di fronte ad un tribunale statunitense specificamente individuato per occuparsi di trattamento di dati personali.
Oltre a ciò, in termini pratico-operativi, la decisione di adeguatezza della Commissione europea comporta che le società statunitensi che facciano importazione di dati personali di cittadini europei potranno/dovranno, su base volontaria, aderire al Privacy Framework ed autocertificare la propria conformità alle regole del Privacy Framework, sorta di “scheletro” del GDPR (depurato di talune norme di dettaglio) volto a garantire che chi tratta dati lo faccia in maniera trasparente nei confronti dell’Interessato, in presenza di una solida base giuridica, riconoscendo all’Interessati i propri diritti, etc.
Tramite accesso ad un sito internet dedicato e gestito dal dipartimento del commercio americano sarà, dunque, possibile verificare la registrazione delle aziende statunitensi al Privacy Framework; oltre all’elenco di tutte le aziende statunitensi che avranno aderito al Privacy Framework sarà altresì verificabile l’elenco di tutte quelle aziende che, a seguito di controlli da parte dello stesso dipartimento del commercio risulteranno aver violato la loro autocertificazione e, dunque, il loro impegno al rispetto delle regole di cui al Privacy Framework. Tali due elenchi saranno quindi pubblici ed interrogabili da qualunque parte del mondo, Italia inclusa.
Benché sia presumibile ritenere che tutte le grandi aziende americane – in particolare le Big Tech – aderiranno al Privacy Framework va tuttavia tenuto in debita considerazione che le modifiche giuridiche intervenute nell’ordinamento americano creano unicamente le condizioni affinché il trasferimento dei dati negli USA sia legittimo, ma poiché il meccanismo è poi tale per cui è l’importatore dei dati a doversi impegnare a rispettare determinate regole, il trasferimento sarà effettivamente legittimo solo se a fornire il servizio comportante importazione di dati sarà un soggetto che si è assunto l’impegno a rispettare le regole di cui al Privacy Framework, mediante volontaria adesione allo stesso.
Le condizioni per poter legittimamente esportare negli USA i dati personali sono state pertanto create: compete ora alle aziende statunitensi saper ben cogliere l’occasione.
