Il 10 luglio la Commissione europea ha adottato la tanto attesa decisione di adeguatezza per gli Stati Uniti. Si tratta dell'ultimo passo per l'attuazione del Quadro transatlantico sulla privacy dei dati (DPF), un quadro bilaterale tra l'UE e gli Stati Uniti che consente di agevolare i flussi di dati tra gli Stati Uniti e i Paesi dell'UE/SEE.
Non tutti sono soddisfatti della decisione. Il Parlamento europeo ha espresso un parere negativo sul nuovo quadro e l'ONG per la privacy noyb - che è piuttosto coinvolta nella vicenda - ha già annunciato che contesterà la decisione di adeguatezza presso la Corte di giustizia dell'UE. Non si tratta di una novità. Due quadri di riferimento per il trasferimento dei dati sono già stati invalidati in precedenza con le sentenze Schrems I e II. Con ogni probabilità, Schrems III sarà il battesimo del fuoco del quadro normativo. Ed è davvero difficile dire come andrà a finire.
Ma cos'è esattamente il DPF? Che impatto ha sui trasferimenti di dati e quali problemi legali solleva? Scopriamolo!
- Cos'è il Quadro transatlantico per la protezione dei dati?
- Il quadro transatlantico sulla privacy dei dati risolverà il problema dei trasferimenti di dati tra UE e USA?
- Come funziona il Quadro transatlantico per la protezione dei dati?
- Qual è la storia del DPF?
- Considerazioni finali
Cos'è il Quadro transatlantico per la protezione dei dati?
Il DPF è un quadro di riferimento per il trasferimento dei dati istituito dal governo degli Stati Uniti e dalla Commissione europea per facilitare i trasferimenti di dati tra gli Stati Uniti e l'Unione Europea/Spazio Economico Europeo. Non si tratta però di un accordo internazionale in senso stretto, perché si basa su atti giuridici interni ai quadri giuridici degli Stati Uniti e dell'Unione europea. Questi atti interni sono il risultato di ampie negoziazioni tra gli Stati Uniti e l'UE.
Per quanto riguarda l'Europa, abbiamo la decisione di adeguatezza di cui abbiamo parlato sopra. Una decisione di adeguatezza è un atto unilaterale della Commissione europea che riconosce che un Paese terzo (in questo caso gli Stati Uniti) ha un quadro di protezione dei dati sufficientemente solido e, pertanto, "dà il via libera" ai trasferimenti di dati verso quel Paese.
Per quanto riguarda gli Stati Uniti, abbiamo l'Ordine esecutivo 14086, firmato nell'ottobre 2022 dal Presidente Joe Biden. Un ordine esecutivo è un ordine emesso dal Presidente alle amministrazioni pubbliche (in questo caso, alle agenzie di intelligence). L'Ordine esecutivo 14086 include regole che limitano (in qualche modo) i poteri delle agenzie nei rapporti con alcuni alleati strategici, tra cui l'UE. Inoltre, istituisce un sistema di ricorso per aumentare il grado di controllo sulla sorveglianza di Internet di persone nell'UE e nel SEE.
Il quadro transatlantico sulla privacy dei dati risolverà il problema dei trasferimenti di dati tra UE e USA?
Sì, se la Corte di giustizia non lo respingerà, e questo è un grande "se".
Due quadri più vecchi (il Safe Harbor e il Privacy Shield) sono già stati invalidati dalla Corte perché non fornivano una protezione sufficiente per i dati europei, e l'ONG noyb ha già annunciato una battaglia legale presso la Corte di Giustizia contro il DPF.
Questo non significa necessariamente che anche il DPF sarà invalidato, ma è una possibilità concreta. È difficile dire come andrà a finire: il DPF è, per certi versi, un passo avanti rispetto al passato, ma è ancora problematico sotto certi aspetti.
Come funziona il Quadro transatlantico per la protezione dei dati?
I trasferimenti di dati in breve
Per comprendere l'impatto del Quadro sui trasferimenti di dati, dobbiamo innanzitutto fare un passo indietro e vedere come funzionano i trasferimenti di dati ai sensi del GDPR.
Il GDPR consente solo trasferimenti sicuri e riservati di dati personali al di fuori dell' UE (più esattamente, al di fuori del SEE, perché il GDPR si applica anche in Islanda, Norvegia e Liechtenstein).
Ciò ha senso: senza questo principio fondamentale, tutte le protezioni della privacy del GDPR verrebbero compromesse nel momento in cui i dati personali lasciano l'UE (cosa che accade continuamente). Pertanto, il GDPR non vieta i trasferimenti di dati personali al di fuori dell'UE, ma richiede piuttosto che siano sicuri.
Per attuare questo principio, il GDPR richiede alcune garanzie per i trasferimenti di dati. In pratica, ciò significa che il GDPR elenca un piccolo numero di meccanismi legali che fungono da garanzie per i dati personali e richiede alle organizzazioni di sceglierne uno e di attuarlo correttamente prima di trasferire i dati personali. Un trasferimento di dati senza garanzie è illegale (con eccezioni molto limitate).
Le decisioni di adeguatezza di cui abbiamo parlato sono una di queste garanzie. Sono le salvaguardie preferite da tutte le organizzazioni perché richiedono poca o nessuna documentazione. Tuttavia, sono disponibili solo per alcuni Paesi (potete trovarli elencati sul sito web della Commissione europea).
Quando una decisione di adeguatezza non è disponibile, la maggior parte delle organizzazioni ricorre alle clausole contrattuali standard (SCC) redatte dalla Commissione europea. Le SCC sono clausole che indicano alle parti cosa possono o non possono fare con i dati personali. In questo modo, la forza vincolante di un contratto compensa la mancanza di norme sulla privacy nel Paese del destinatario.
Le SCC sono uno strumento intelligente, ma hanno un grande difetto: fanno poco o nulla per proteggere i dati dalla sorveglianza dello Stato. Ciò è dovuto alla loro natura contrattuale: vincolano le organizzazioni che le firmano, ma non i Paesi.
Purtroppo, la sorveglianza da parte dello Stato è proprio il problema legale che ostacola i trasferimenti di dati tra UE e USA. La natura estesa e sproporzionata delle operazioni di intelligence statunitensi è il motivo per cui la Corte di giustizia ha già invalidato due quadri di trasferimento dati nelle decisioni Schrems I e II.
Le decisioni di Schrems II hanno avuto un impatto anche sull'uso dei Centri di Controllo Interno. La Corte ha chiarito che le organizzazioni devono assicurarsi che gli SCC funzionino effettivamente per il Paese in cui i dati sono destinati. In pratica, ciò significa che le aziende che utilizzano le SCC per inviare dati negli Stati Uniti devono implementare ulteriori salvaguardie per mantenere i dati personali al sicuro dalla National Security Agency.
Questo non è il compito più facile del mondo ed è del tutto impossibile quando si utilizzano alcuni fornitori con sede negli Stati Uniti. Considerata seriamente, la sentenza Schrems II della Corte di giustizia può rendere del tutto illegale l'affidamento a molti servizi statunitensi, compresi operatori chiave come Azure, Oracle e AWS. Il DPF e il suo futuro sono quindi una questione importante per l'economia digitale europea.
Come si trasferiscono i dati negli Stati Uniti in base al Quadro transatlantico per la protezione dei dati?
Il DPF semplificherà i trasferimenti di dati in due modi. In primo luogo, le organizzazioni europee possono fare affidamento sulla decisione di adeguatezza per gli Stati Uniti quando inviano dati ad alcune organizzazioni con sede negli Stati Uniti, ma non a tutte.
Il DPF consente alle aziende dell'UE di trasferire dati solo a organizzazioni che aderiscono ai principi del Privacy Shield e che autocertificano tale adesione al Dipartimento del Commercio degli Stati Uniti. In termini pratici, ciò significa che non potete fare affidamento sulla decisione di adeguatezza per inviare dati a un'organizzazione che non aderisce ai principi del Privacy Shield. In tal caso, dovrete utilizzare un'altra salvaguardia, in genere gli SCC.
In secondo luogo, i trasferimenti di dati a tutte le altre organizzazioni sono facilitati dal fatto che l'ordine esecutivo limita (in qualche modo) la discrezionalità delle agenzie di intelligence di spiare i dati europei. Quindi l'ordine esecutivo consente trasferimenti di dati basati su SCC con poche o nessuna salvaguardia aggiuntiva.
Naturalmente, ciò presuppone che il DPF sopravviva a Schrems III, il che è tutt'altro che certo!
Vale anche la pena di sottolineare che non è possibile trasferire dati personali a società statunitensi a destra e a manca solo perché si dispone di una decisione di adeguatezza! Le regole generali del GDPR sono ancora valide: se non avete un motivo legittimo per divulgare dati personali a un'altra organizzazione, non potete farlo, anche se i dati rimangono all'interno dell'UE. Con tutti i discorsi sul trasferimento dei dati, è facile dimenticare che le regole sul trasferimento dei dati sono solo un pezzo del puzzle della conformità.
Qual è la storia del DPF?
Schrems I e II
Il DPF non è il primo quadro normativo sulla privacy tra l'UE e gli USA. In passato sono stati istituiti due quadri di questo tipo e le cose non sono andate bene.
Nel 2000, l'UE e gli USA avevano un quadro per il trasferimento dei dati chiamato Safe Harbor. Nel 2013, dopo le rivelazioni di Snowden sulla sorveglianza estesa degli Stati Uniti sui dati esteri, il cittadino austriaco Maximilian Schrems (questo nome verrà citato spesso) ha presentato una denuncia contro Facebook Ireland (ora Meta). Egli sosteneva che il trasferimento di dati personali da parte dell'azienda alla società madre con sede negli Stati Uniti esponeva le informazioni a un rischio sostanziale di sorveglianza statale da parte delle agenzie statunitensi ed era quindi illegale.
Questo ha dato inizio a una battaglia legale decennale che ha coinvolto l'autorità irlandese per la privacy (DPC), il sistema giudiziario amministrativo irlandese e la Corte di giustizia dell'UE (CGUE). La CGUE si è pronunciata due volte sulla questione con le decisioni Schrems I e II.
Entrambe le sentenze sono casi emblematici della legislazione europea sulla protezione dei dati, ed entrambe hanno invalidato un quadro di riferimento per il trasferimento dei dati, prima il Safety Harbor e poi il suo successore, il Privacy Shield (sì, si chiama come i principi del Privacy Shield, il che crea confusione). In altre parole, il DPF è un terzo tentativo.
Le decisioni Schrems I e II sono lunghe e complesse e toccano molti argomenti, ma hanno due conclusioni principali.
- Le decisioni sull'adeguatezza non sono decisioni puramente politiche. Ai sensi del GDPR, la Commissione può adottare una decisione di adeguatezza solo per i Paesi che garantiscono "un livello adeguato di protezione" dei dati personali. In altre parole, la Commissione non può adottare una decisione di adeguatezza solo perché un Paese le piace, ma deve considerare fattori oggettivi. Se questi fattori non vengono valutati correttamente, la decisione di adeguatezza è sbagliata e può essere invalidata dalla Corte di giustizia. Questo è ciò che è accaduto nei casi Schrems I e II.
- Il secondo aspetto importante è che il trasferimento di dati personali può talvolta richiedere garanzie aggiuntive rispetto a quelle richieste dal GDPR. Il motivo è semplice: poiché le clausole contrattuali standard non vincolano lo Stato destinatario, non fanno nulla per proteggere i dati europei dalla sorveglianza, che è il fulcro della questione in entrambe le sentenze Schrems II. Pertanto, per trasferire i dati in modo sicuro, le organizzazioni dell'UE devono trovare altri modi per mantenere la riservatezza dei dati personali.
C'è un problema ovvio: le agenzie di intelligence sono brave a raccogliere informazioni riservate, indipendentemente da quanto siano protette. Dopotutto, è il loro lavoro. Quindi, come abbiamo spiegato sopra, è molto difficile - e a volte impossibile - per un'azienda europea integrare gli SCC con garanzie aggiuntive che funzionino davvero.
I trasferimenti di dati dopo Schrems II
Il caso Schrems II è stato deciso nel 2020 e la sentenza ha messo in difficoltà molte aziende europee che dipendevano (e dipendono tuttora) da fornitori di servizi con sede negli Stati Uniti. Di conseguenza, molte aziende hanno sostanzialmente ignorato la sentenza e hanno continuato a lavorare come sempre.
Una ONG per la tutela della privacy chiamata noyb (di cui fa parte lo stesso Schrems) non era soddisfatta della situazione e ha iniziato a spingere le autorità verso un'applicazione rigorosa della sentenza Schrems II, presentando una serie di reclami contro i trasferimenti di dati per Google Analytics e Facebook Connect. Ciò ha indotto le autorità preposte alla tutela della privacy ad adottare una posizione più dura nei confronti dei trasferimenti di dati e a vietare praticamente l'accesso a Google Analytics da alcuni Stati membri, compresi i mercati nazionali chiave di Francia e Italia.
(Per essere chiari, le autorità preposte alla tutela della privacy hanno deciso caso per caso, ma era piuttosto chiaro che i casi futuri sarebbero stati decisi allo stesso modo, motivo per cui la decisione equivaleva praticamente a un divieto a livello statale e ha scatenato il panico tra gli operatori del marketing).
Naturalmente la posta in gioco era molto più alta di Google Analytics, per cui la Commissione europea e il governo statunitense hanno negoziato un nuovo quadro per il trasferimento dei dati. L'attuazione di questo quadro è iniziata nell'ottobre 2022, quando il presidente Joe Biden ha emanato l'ordine esecutivo 14086, ed è terminata nel luglio 2023, quando la Commissione ha adottato la decisione di adeguatezza per gli Stati Uniti.
Perché il nuovo quadro ha richiesto così tanto tempo?
Se i flussi di dati tra UE e USA sono così importanti per entrambe le parti, perché ci sono voluti tre anni per implementare il nuovo quadro?
La creazione di questo quadro non è stata facile. Il DPF è il risultato di un complesso lavoro legale, soprattutto da parte americana.
La Commissione desiderava fortemente un quadro per il trasferimento dei dati, ma aveva anche bisogno di un quadro che potesse sopravvivere a una sentenza Schrems III (e resta da vedere se sarà così). Allo stesso tempo, il governo statunitense doveva trovare un sistema che non solo soddisfacesse la Corte di giustizia dell'UE, ma che fosse anche conforme ai vincoli del diritto costituzionale statunitense e alla giurisprudenza della Corte Suprema degli Stati Uniti. In altre parole, il DPF è un tentativo di accontentare due Corti allo stesso tempo.
Se avete tempo da perdere, questo eccellente articolo fa un'immersione profonda nel diritto statunitense e spiega parte dell'ingegneria legale alla base del meccanismo di ricorso implementato dall'Ordine Esecutivo. Che il DPF sopravviva o meno a Schrems III, l'ingegnosità dei sistemi è impressionante.
Considerazioni finali
Nel complesso, il DPF è un argomento divisivo e le persone tendono a dividersi in due fazioni. Alcuni ritengono che il DPF sia la soluzione definitiva al problema del trasferimento dei dati e sono fiduciosi che Schrems III andrà bene. Altri, tra cui Max Schrems e noyb, ritengono che il DPF sia una copia del Privacy Shield e sono certi che la Corte di giustizia lo boccerà.
Noi crediamo che la verità stia nel mezzo. Il DPF è sicuramente un passo avanti rispetto al Privacy Shield, ma d'altra parte il Privacy Shield era terribile. Oltre ai miglioramenti, il nuovo quadro normativo presenta ancora dei problemi potenziali.
Schrems III potrebbe avere un esito diverso. Da un lato, l'opinione negativa del Parlamento europeo sul DPF non è l'inizio più promettente e potrebbe spingere la Corte a prendere una posizione dura. D'altro canto, l'attuale tensione internazionale dovuta alla guerra in Ucraina potrebbe spingere la Corte nella direzione opposta e suggerire un certo grado di pragmatismo quando si tratta di un alleato strategico dell'UE.
Sappiamo che se il DPF dovesse fallire, ci ritroveremmo al punto di partenza. In effetti, i trasferimenti di dati potrebbero diventare un problema ancora più grande dopo Schrems III, perché l'applicazione di Schrems II ha preso piede dal 2020 (si veda la recente multa di 1,2 miliardi di euro contro Meta!). D'altra parte, la Corte probabilmente non abbatterà il DPF senza dare al governo statunitense e alla Commissione qualche suggerimento su cosa vuole vedere in seguito nel quadro numero quattro.
In conclusione, possiamo solo aspettare e vedere. Nel frattempo, le aziende dovrebbero avere a portata di mano un piano B - o almeno un abbozzo di piano - nel caso in cui Schrems III non dovesse andare bene.
La cattiva notizia è che questo è davvero difficile per alcuni fornitori di servizi. La buona notizia è che è molto facile per l'analisi web. Infatti, non c'è bisogno di aspettare Schrems III: molte aziende possono trarre vantaggio dall'abbandono di Google Analytics!
Google Analytics è lo strumento di analisi standard su Internet, ma non è insostituibile. Esistono molte alternative, comprese quelle rispettose della privacy e basate sull'UE. E noi abbiamo quello che fa per voi.
Noi di Simple Analytics crediamo che non sia necessario tracciare in modo aggressivo i visitatori per ottenere le informazioni di cui avete bisogno! Ecco perché abbiamo fatto della privacy la pietra miliare di Simple Analytics.
I nostri servizi non raccolgono dati personali, non rilevano le impronte digitali dei visitatori e non li tracciano in alcun modo, pur fornendo eccellenti informazioni e risultando molto facili da usare rispetto alla concorrenza. Se vi sembra una buona idea, provateci!