La Commissione Europea ha adottato come sufficiente, per l’adeguatezza, l’EU-US Data Privacy Framework. Si chiude così, almeno temporaneamente, una situazione di incertezza giuridica che si protraeva da tre anni, pesando su pubbliche amministrazioni e aziende utilizzatrici di servizi digitali USA.
Questa decisione afferma che gli Stati Uniti garantiscono un adeguato livello di protezione – paragonabile a quello dell’Unione Europea – per i dati personali trasferiti dall’UE alle aziende statunitensi nell’ambito del nuovo quadro. Sulla base di questa nuova decisione, i dati personali possono fluire in sicurezza dall’UE alle aziende americane che partecipano al Framework, senza la necessità di adottare ulteriori garanzie per la protezione dei dati.
Per il Commissario per la giustizia europeo, Didier Reynders, questa intesa sottolinea che gli Stati Uniti sono ora in grado di garantire un adeguato livello di sicurezza per i dati dei cittadini europei.
“Con l’adozione della decisione di adeguatezza, i dati personali possono ora fluire liberamente e in sicurezza dallo spazio economico europeo agli Stati Uniti senza ulteriori condizioni o autorizzazioni“, ha sottolineato Reynders. “Pertanto, la decisione di adeguatezza garantisce che i dati possano essere trasmessi tra l’Unione europea e il Stati Uniti sulla base di un accordo stabile e affidabile che protegga le persone e offra certezza del diritto alle aziende”.
Bruxelles ottiene la limitazione dell’accesso ai dati dei suoi cittadini da parte dei servizi di intelligence statunitensi a quanto ‘necessario e proporzionato’.
Ma visto con gli occhi del cittadino europeo l’accordo annunciato a Bruxelles ben giustifica la locuzione ‘almeno temporaneamente’ con cui abbiamo aperto questo articolo. Questo EU-US Data Privacy Framework rappresenta infatti il terzo tentativo di mettere in piedi un sistema sicuro di scambio di informazioni.
Nel 2000 è entrato in vigore il Safe Harbour, programma stroncato dalla Corte di giustizia dell’Ue nel 2015, chiamata a valutarlo sulla base di un ricorso presentato da noyb, l’organizzazione fondata dall’avvocato attivista austriaco Maximilian Schrems, che era addivenuto a un sentenza nota come ‘Schrems I’. Unione europea e Stati Uniti hanno cercato una soluzione attraverso un nuovo accordo in materia, il Privacy Shield, del 2016, anch’esso bocciato dall’Alta corte Ue su di un ricorso presentato dalla medesima organizzazione con una sentenza nota come ‘Schrems II’. Il che significa che accordi politici, come quelli tra UE e USA, non hanno validità legale in sé, se soggetti a una validazione da parte dell’Alta corte EU.
In più il Parlamento della UE aveva accolto favorevolmente la decisione dello Schrems II, in quanto, aveva fatto sapere ufficialmente: “si rammarica del fatto che la Commissione abbia ignorato le richieste del Parlamento di sospendere lo scudo per la privacy fintantoché le autorità statunitensi non si attengano alle sue condizioni, che sottolineavano il rischio di annullamento dello scudo per la Privacy da parte della CGUE (la Corte di Giustizia della UE)” mentre, colpo finale, “si rammarica del fatto che la Commissione abbia anteposto le relazioni con gli Stati Uniti agli interessi dei cittadini dell’UE, affidando così ai singoli cittadini il compito di difendere il diritto dell’UE”.
Questo diceva il Parlamento UE nel 2021, e non sembra, a prima vista almeno, che il nuovo accordo presenti innovazioni sensibili in tali ambiti. Tant’è che lo stesso Maximilian Schrems ha prontamente annunciato la presentazione del suo ricorso contro l’accordo transatlantico appena siglato . Ricorso che ha solide base di essere accolto, tra due o tre anni.
D’altronde noyb ha pubblicato sul proprio sito: “Nel complesso, il nuovo ‘Trans-Atlantic Data Privacy Framework’ è una copia del Privacy Shield (del 2016), che a sua volta era una copia del Safe Harbor (del 2000). Dato che questo approccio è già fallito due volte in passato, non c’era alcuna base legale per il cambio di rotta: l’unica logica di avere un accordo era quella politica“.
Concetto ribadito su Facebook da Matteo GP Flora, Founder di The Fool e co-founder di 42 Legal Firm, che ha scritto semplicemente come sia abbastanza normale che la EU Commission abbia confermato quanto essa stessa ha concordato: “Peccato che a quella bozza siano contrari il Parlamento UE e l’EDPB, che ha rilevato ‘criticità non risolte’. Lo scenario che si prefigge è semplice: le problematiche irrisolte porteranno nuovamente alla Corte di Giustizia Europea e a una Schrems III“.
La conclusione è scontata: non bloccare ‘per ora’ i trasferimenti. Perché la stessa nyob scrive sul suo sito: “Ci aspettiamo che il nuovo sistema venga implementato dalle prime aziende nei prossimi mesi, il che aprirà la strada a un ricorso da parte di una persona i cui dati vengono trasferiti in base al nuovo strumento“.
Per il resto ‘business as usual’, tentando, il Manzoni docet, di ‘sopire e troncare‘.
