Trasferimenti di dati personali UE-US: verso un nuovo Privacy Shield?

Dopo il fallimento del Safe Harbor e del Privacy Shield, UE e Stati Uniti siedono nuovamente al tavolo delle trattative per negoziare un nuovo accordo volto a scongiurare il blocco dei trasferimenti di dati personali verso dall’UE agli Stati Uniti, stabilendo nuove politiche per i data transfer transatlantici.

Per chiarire la vexata quaestio dei trasferimenti dei dati personali UE-USA (che copre anche l’accesso da un paese terzo da remoto) è, in primo luogo, opportuno precisare l’assetto normativo europeo preposto al governo dei trasferimenti di dati verso paesi non inclusi nello Spazio Economico Europeo (SEE). In linea di principio, si individuano due modi che vengono usati più spesso per consentire il trasferimento di dati personali verso paesi terzi situati fuori dello SEE. I trasferimenti di dati personali possono avvenire (i) sulla base di una decisione di adeguatezza della Commissione europea o, in mancanza di tale decisione di adeguatezza o (ii) se il titolare del trattamento o il responsabile del trattamento fornisce garanzie organizzative, tecniche e contrattuali appropriate, compresi diritti azionabili e mezzi di ricorso giurisdizionali per l’interessato tramite strumenti quali le clausole contrattuali standard o le Binding Corporate Rules (BCR).

Le difficoltà di adattamento degli strumenti di garanzia disciplinati dal GDPR al complesso quadro normativo degli Stati Uniti ha nel tempo favorito l’affermazione di accordi specifici volti a governare le attività trasferimento, una sorta di valutazione di “adeguatezza condizionata” a specifiche condizioni di sicurezza tecniche e organizzative. La Commissione europea ha, fino ad ora, stipulato due accordi con gli Stati Uniti: il Safe Harbor e il Privacy Shield, entrambi invalidati dalla Corte di Giustizia rispettivamente nel 2015 e nel 2020 (casi “Schrems I” e “Schrems II”). In particolare, il giudice europeo ha rilevato l’inadeguatezza degli accordi raffrontando alla gamma di diritti e libertà fondamentali stabiliti dal diritto europeo il quadro normativo degli Stati Uniti in materia di intelligence ed esercizio dei diritti dell’interessato in opposizione all’autorità pubblica. Disposizioni pervasive come il FISA 702 e l’Executive Order 12333, ad esempio, sono alla base della sentenza Schrems II.

L’assenza di uno strumento preciso atto a governare i trasferimenti di dati UE-USA ha gradualmente generato un impasse tra le imprese europee e statunitensi. Da Schrems II, molte imprese USA e UE sono ricorse all’uso delle clausole standard predisposte dalla Commissione Europea, uno degli strumenti di garanzia disciplinati dall’art. 46 GDPR. Sul punto, l’EDPB ha recentemente ribadito l’importanza dell’effettuazione di valutazioni sull’impatto privacy dei trasferimenti transnazionali nonché l’adozione di eventuali misure supplementari, a tutela del necessario livello di protezione dei dati stabilito dal diritto europeo. Come si specificherà in seguito, inoltre, a decorrere dal 27 settembre 2021, sarà possibile usare unicamente il nuovo set di clausole contrattuali standard approvato dalla Commissione europea per regolare i trasferimenti di dati personali al di fuori del SEE.

All’attuale contesto vanno a cumularsi i provvedimenti emessi negli ultimi mesi delle autorità di controllo europee, mirati a sancire l’illiceità dei trasferimenti o gli accessi dei dati personali a soggetti di diritto degli Stati Uniti. L’esempio più recente è certamente quello dell’Autorità Garante per la protezione dei dati personali, che nell’ambito del provvedimento sanzionatorio nei confronti dell’Università Bocconi di Milano, ha contestato l’implementazione di un software per il controllo a distanza degli studenti che determinava un trasferimento illecito di dati negli Stati Uniti.

L’interesse in gioco è di tutto rispetto, in ragione del forte sodalizio operativo, economico e sociale intercorrente tra i paesi dell’UE e gli Stati Uniti. Molte imprese europee fanno largo ricorso a fornitori (o sub-fornitori) di servizi digitali stabiliti negli Stati Uniti, specie nel settore del cloud computing. Dall’altra sponda dell’Atlantico, operatori over-the-top come Facebook, Whatsapp e Netflix intravedono nel mercato europeo opportunità floride di espansione commerciale sfruttabili solo in virtù di un’intesa sui data flows tra UE e USA.

Da ultimo, la Camera di Commercio statunitense ha pubblicato un articolo volto a sottolineare l’importanza di un’intesa sui data flows tra imprese europee e statunitensi. Il documento introduce tredici ragioni per cui l’adozione del nuovo Privacy Shield dovrebbe essere prioritaria, in ragione delle potenziali conseguenze negative che deriverebbero dal blocco dei trasferimenti di dati UE-USA per cittadini, lavoratori e imprese di entrambe le sponde dall’Atlantico. Il cambio di testimone al Washington potrebbe, in tal senso, comportare un’accelerazione delle trattative. La nuova amministrazione Biden ha manifestato interesse ad addivenire tempestivamente a un accordo sostitutivo con la Commissione.

Di diverso avviso, il commissario europeo della giustizia nella Commissione Van der Leyden, Didier Reynders, che ha recentemente evidenziato, in occasione di una dichiarazione pubblica, un generale rallentamento nei negoziati del nuovo Privacy Shield. Il “convitato di pietra” al tavolo delle trattative sarebbe, ancora una volta, il complesso quadro normativo statunitense in materia di intelligence e poteri investigativi, fonte di diffusa preoccupazione per la Commissione europea.

Come accennato sopra, la notizia in esame assume maggior rilevanza in quanto a decorrere dal 27 settembre 2021, sarà possibile usare unicamente le nuove (e non anche le vecchie) Clausole Contrattuali Standard approvate dalla Commissione europea per regolare i trasferimenti di dati personali al di fuori dello Spazio Economico Europeo, che prevedono espressamente l’esigenza di eseguire una valutazione dei trasferimenti ai sensi della Sentenza Schrems II. A tal fine, DLA Piper ha sviluppato un tool di legal tech per agevolare nella valutazione dei trasferimenti dei dati al di fuori dello SEE di cui discutiamo in questo articolo “Come eseguire una valutazione del trasferimento dei dati personali ai sensi della Schrems II”.

Sullo stesso argomento, è possibile leggere l’articolo “Cosa cambia con le nuove clausole contrattuali standard sui trasferimenti di dati personali?“.