TRASFERIMENTO VERSO GLI USA (FEBBRAIO 2023)

Nell’ambito delle proprie attività imprenditoriali, le aziende che effettuano trasferimenti di dati personali verso gli Stati Uniti avranno sentito parlare della sentenza della Corte di Giustizia Europea (CGUE), datata 16 Luglio 2020 (c.d. Schrems II), che ha provocato la cessazione della protezione accordata tramite il “Privacy Shield” tra UE e USA, in quanto non sussisteva la proporzionalità delle attività di Intelligence, ai sensi dell’articolo 52 della Carta dei diritti fondamentali, nonché non era previsto un meccanismo di ricorso giudiziale, ai sensi dell’articolo 47 della Carta dei diritti fondamentali. Dopo tale sentenza, i soggetti che intendono effettuare trasferimenti di dati personali verso gli Stati Uniti, oltre a rispettare il dispositivo del Capo V del Regolamento UE 2016/679 (di seguito, GDPR), devono prestare molta attenzione alla natura del trasferimento e alla tipologia di protezione che l’importatore americano deve garantire a tali dati personali.

Come rilevato dalla CGUE, i requisiti della normativa interna degli Stati Uniti e alcuni programmi di sorveglianza consentono l’accesso ai dati personali trasferiti dall’Unione Europea verso gli Stati Uniti da parte delle autorità pubbliche statunitensi per le finalità di sicurezza nazionale, senza rispettare le garanzie adeguate alla protezione dei dati personali come previsto dal diritto europeo. In particolare, le autorità investigative statunitensi possono accedere a tali dati per le proprie attività investigative, secondo l’articolo 702 del Foreign Intelligence Surveillance Act (FISA) e l’Executive Order (E.O.) 12333, con riferimento a qualsiasi trasferimento verso gli Stati Uniti eseguito con mezzi elettronici che rientri nell’ambito di applicazione della suddetta normativa, a prescindere dallo strumento utilizzato per il trasferimento. Tale normativa, inoltre, non conferisce agli interessati diritti azionabili in sede giudiziaria nei confronti delle autorità statunitensi.

Alla luce di tale grado di ingerenza nei diritti fondamentali delle persone i cui dati sono trasferiti verso tale paese terzo, la Corte aveva dichiarato invalida la decisione sull’adeguatezza del “Privacy Shield”.

Le cose sembrano cambiare da parte degli Stati Uniti, infatti, in data 7 ottobre 2022, il Presidente degli Stati Uniti Biden aveva firmato l’Executive Order “Enhancing Safeguards for United States Signals Intelligence Activities” (c.d. “E.O. 14086”), con l’obiettivo di introdurre dei concetti basilari di proporzionalità del trattamento e di fornire dei mezzi di ricorso efficaci. In particolare:

introdurre ulteriori salvaguardie durante le attività di Intelligence americana (sulla scorta di quanto criticato dalla CGUE), a livello privacy e civilistico e a prescindere dalla nazionalità o stato di residenza dei soggetti;
prescrivere dei requisiti al trattamento di dati personali raccolti durante le attività di Intelligence, nonché estendere le responsabilità dei funzionari, al fine di garantire misure appropriate per rimediare ad incidenti di non conformità;
aggiornare le politiche e le procedure delle agenzie di Intelligence americana, al fine di integrare le nuove salvaguardie previste dall’E.O. 14086;
istituire un sistema per richiedere un esame e un ricorso indipendente e vincolante in caso di reclami relativi ai propri dati personali raccolti durante le attività di Intelligence, basato su due livelli di controllo. Questa misura, inoltre, permette al Procuratore Distrettuale (Attorney General) di istituire un tribunale di riesame della protezione dei dati;
permettere al “Privacy and Civil Liberties Oversight Board” di revisionare le politiche e le procedure delle agenzie di Intelligence americana, nonché di programmare una revisione annuale del processo di ricorso e di verificare che le attività delle agenzie di Intelligence abbiano applicato quanto deciso dagli organi di controllo.
A seguito dell’approvazione dell’Executive Order 14086, la Commissione Europea ha emesso una bozza di decisione di adeguatezza in data 13 dicembre 2022, attualmente non ancora effettiva, al fine di ripristinare un meccanismo di trasferimento secondo l’UE-US Data Privacy Framework, fornendo una maggiore certezza giuridica alle aziende che utilizzano le clausole contrattuali standard e le norme vincolanti d’impresa per trasferire i dati personali dal territorio dei Stati membri europei agli Stati Uniti, includendo, rispetto alla versione precedente manta nel 2016, espressi riferimenti alle disposizioni del GDPR e alle misure di sicurezza del trattamento.

Prima che la nuova decisione di adeguatezza possa essere definitiva, dovrà essere valutata dall’European Data Protection Board (“EDPB”) e dagli Stati membri europei, con l’eventualità che sia soggetta a modifiche prima della definitiva approvazione e applicazione (si precisa, comunque, che la valutazione negativa di queste istituzioni non è vincolante per la Commissione Europea).

Non mancano le opinioni dei critici, tra cui l’organizzazione non-profit NYOB, rilevando che “le modifiche apportate alla legge americana sembrano piuttosto minime”, in quanto ad “un esame più attento risulta evidente che l’Ordine Esecutivo vende troppo e non rende abbastanza quando si tratta di proteggere le persone non statunitensi”. Lo stesso Max Schrems riporta che “Poiché la bozza di decisione si basa sul noto Ordine Esecutivo, non vedo come possa sopravvivere a un ricorso alla Corte di Giustizia. Sembra che la Commissione europea emetta decisioni simili in continuazione, in palese violazione dei nostri diritti fondamentali”.

Il problema di fondo risiede nella giurisprudenza statunitense, in merito al dettato del Quarto Emendamento del “Bill of Rights”, che prevede i principi di diritto alla sicurezza personale e di “privacy” (intesa come riservatezza), inoltre, esige una causa giustificata e l’autorizzazione di un’autorità giudiziaria per effettuare perquisizioni (in cui si possono ricomprendere anche le intercettazioni), sequestri e/o arresti nei confronti del popolo. La Suprema Corte statunitense aveva specificato, nel caso “United States v. Verdugo-Urquidez” [494 U.S. 259 (1990)], il principio che “il testo del Quarto Emendamento riguarda “il popolo”, suggerendo un interesse solo per le persone che fanno parte della comunità nazionale, in contrasto con gli stranieri che non hanno alcun legame sostanziale con gli Stati Uniti. Inoltre, gli stranieri extraterritoriali non hanno diritto ai diritti previsti dal Quinto Emendamento, che parla con il termine relativamente più universale di “persona”. E i diritti non “fondamentali” non sono garantiti nemmeno agli abitanti dei territori non incorporati sotto il controllo degli Stati Uniti, tanto meno agli stranieri. Pertanto, qualsiasi restrizione alle perquisizioni e ai sequestri di stranieri non residenti e delle loro proprietà all’estero deve essere imposta dai rami politici attraverso un’intesa diplomatica, un trattato o una legge”.

Al contrario, l’articolo 3, paragrafo 2 del GDPR, tutela anche i soggetti stranieri, non solo i cittadini europei, a prescindere dalla propria nazionalità e che “si trovano nell’Unione”, anche momentaneamente, quando il trattamento consiste in un’offerta di beni o prestazione di servizi, oppure in un monitoraggio del loro comportamento all’interno dell’Unione.

Fermi questi elementi, lo sviluppo attuale sembra un importante passo in avanti per la collaborazione tra Unione Europea e Stati Uniti, gestendo alcune questioni critiche che non erano state risolte con i precedenti accordi di trasferimento (“Safe Harbor” e “Privacy Shield”).

Tuttavia, se si vuole “sperare” che in futuro anche questo accordo non soccomba a decisioni invalidanti della Corte di Giustizia Europea, dovranno necessariamente essere affrontate le seguenti tematiche tra UE e USA:

  • allineamento effettivo dei principi in materia di tutela dei dati personali (probabilmente insuperabile fino a quando la normativa in ambito di protezione di dati personali sarà relegata alla legislazione dei singoli stati, vedasi il CCPA in California e non avrà rilevanza a livello federale);
  • maggiore regolamentazione e limitazione delle attività investigative delle agenzie di intelligence, nonché delle attività commerciali delle società Big Tech statunitensi;
  • maggiore regolamentazione del mercato dei dati personali, in previsione dell’entrata in vigore del “Digital Markets Act” in data 2 maggio 2023.

Quale ulteriore aggiornamento va aggiunto che, proprio in relazione al succiato iter intrapreso dalla Commissione europea, il Parlamento europeo ha pubblicato una bozza di risoluzione lo scorso 14 febbraio. Tale documento esprime una persistente preoccupazione verso il potenziale impatto dell’ordinamento giuridico statunitense sui diritti concernenti la protezione dei dati dei cittadini dell’UE e chiede, a fronte di aspetti considerabili ancora particolarmente critici, una maggiore trasparenza e responsabilità nelle pratiche di trattamento dei dati negli Stati Uniti. La bozza evidenzia, peraltro, l’esigenza di una strategia e di un piano d’azione completi e coerenti da parte dell’UE e dei suoi Stati membri per garantire che la protezione dei dati personali sia effettivamente salvaguardata nel contesto dei flussi di dati globali e dell’accesso transfrontaliero da parte delle forze dell’ordine e delle agenzie di intelligence.

Il documento del Parlamento UE, dunque, invita la Commissione europea a non adottare la decisione di adeguatezza relativa all’attuale “EU-U.S. Data Privacy Framework”, esortandola, altresì, a proseguire i negoziati con le controparti statunitensi al fine di creare un meccanismo relativo alla circolazione dati UE-USA che assicuri un livello di protezione adeguato a quanto prescritto dalla normativa dell’Unione Europea, come interpretata dalla CGUE.

Non v’è dubbio che la posizione espressa dalla proposta di risoluzione del Parlamento UE rifletta la complessità del dibattito in tema e tenda a sensibilizzare maggiormente verso la necessità di un approccio maggiormente equilibrato e proporzionato in favore di una sicurezza dei dati personali che tenga conto degli interessi e dei diritti di tutte le parti interessate.

Share:

Ultimi Articoli

Il Medico Competente

IL MEDICO COMPETENTE Nel rispondere alla richiesta di chiarimenti avanzata dalla Società Italiana di Medicina del Lavoro – SIML in merito alla corretta qualificazione del

Consulente del Lavoro

IL RUOLO DEI CONSULENTI DEL LAVORO Rispondendo ai quesiti sottoposti dal Consiglio Nazionale dei consulenti del lavoro e da numerosi professionisti, l’Autorità Garante ne ha

                     Microtek Service

           dal 2001 al Vostro Servizio

Servizi

Newsletter

Iscriviti