Lo scambio transatlantico di dati è di fondamentale importanza per il commercio e le imprese, ma da anni è al centro di discussioni legali e sulla protezione dei dati. L'introduzione del Data Privacy Framework (DPF) UE-USA nel 2023 intende creare una nuova base per il trasferimento sicuro dei dati. Il Comitato europeo per la protezione dei dati (EDPB) si è ora occupato dell'attuazione della decisione di adeguatezza per gli USA e ha tratto una prima conclusione provvisoria.
Questi progressi sono stati compiuti nell'implementazione del DPF
A seguito della sentenza della Corte di giustizia europea (CGE) nel caso "Schrems II", sono state individuate significative carenze nel precedente accordo sulla protezione dei dati, il Privacy Shield. Il DPF è stato sviluppato per rispondere alle critiche della Corte di giustizia europea e per armonizzare gli standard di protezione dei dati tra l'UE e gli USA.
La prima revisione del DPF da parte dell'EDSA mostra progressi in particolare nei seguenti punti:
- Autocertificazione delle aziende: Il Dipartimento del Commercio degli Stati Uniti ha adottato tutte le misure necessarie per attuare il processo di certificazione. Ciò include lo sviluppo di un nuovo sito web, l'aggiornamento delle procedure, la collaborazione con le aziende e la realizzazione di attività di sensibilizzazione. Ad oggi, sono state certificate oltre 2.800 organizzazioni.
- Applicazione: il DPF prevede una procedura di reclamo in più fasi, compresa una procedura di arbitrato indipendente. Su entrambe le sponde dell'Atlantico sono state pubblicate linee guida complete per la gestione dei reclami.
Preoccupazione per l'accesso ai dati da parte dello Stato
Secondo l'EDSA, tuttavia, il monitoraggio della conformità ai principi del DPF da parte delle autorità statunitensi è ancora inadeguato. Il basso numero di reclami ricevuti finora nell'ambito del DPF dimostra quanto sia importante che le autorità statunitensi avviino misure di monitoraggio per verificare se le aziende certificate DPF rispettano i principi chiave del DPF. L'EDSA chiede pertanto un aumento dei controlli.
Una preoccupazione centrale della revisione riguarda l'accesso ai dati da parte delle autorità statunitensi, in particolare delle agenzie di intelligence. I principi di necessità e proporzionalità sanciti dal DPF sono fondamentali in questo caso. L'Ordine esecutivo 14086 è stato considerato un progresso, ma le preoccupazioni rimangono:
- Gli Stati Uniti continuano a consentire misure di sorveglianza di massa senza previa autorizzazione indipendente, in contrasto con i requisiti della Corte di giustizia europea.
- La sezione 702 del Foreign Intelligence Surveillance Act (FISA) statunitense regola la sorveglianza di cittadini non statunitensi al di fuori del territorio degli Stati Uniti, ad esempio da parte della NSA. In questo caso, la portata delle misure di sorveglianza è stata notevolmente ampliata, il che solleva questioni di trasparenza e prevedibilità.
L'EDPB sottolinea che queste questioni dovrebbero essere considerate prioritarie nelle future revisioni.
Suggerimento di lettura: La Commissione UE adotta una nuova decisione di adeguatezza per i trasferimenti sicuri di dati tra UE e USA
Esecuzione e rimedi legali
Il Tribunale per il riesame della protezione dei dati (DPRC), recentemente introdotto, offre ai cittadini dell'UE maggiori opportunità di far valere i propri diritti. Tuttavia, non mancano le sfide:
- Mancanza di trasparenza: le decisioni della DPRC non possono essere contestate, il che limita la responsabilità.
- Nessun test pratico: Al momento della revisione, nel luglio 2024, non era stato presentato alcun reclamo, quindi non è stato possibile testare l'effettivo funzionamento dei meccanismi.
A seguito dell'audit, l'EDPB ha formulato raccomandazioni specifiche, tra cui
- Rafforzare l'applicazione proattiva delle norme: le autorità statunitensi, come il Dipartimento del Commercio e la Federal Trade Commission, dovrebbero aumentare le loro attività di monitoraggio.
- Chiarimento delle definizioni legali: Termini poco chiari come "fornitore di servizi di comunicazione elettronica" nella Sezione 702 FISA devono essere chiariti per garantire la certezza del diritto.
- Maggiore controllo dell'accesso ai dati: in particolare, l'uso dei dati disponibili in commercio da parte dei servizi di intelligence dovrebbe essere regolato e controllato in modo più rigoroso.
La prossima revisione del DPF dovrebbe avvenire entro tre anni per affrontare le questioni in sospeso e garantire ulteriori progressi.
Conclusione: Il quadro sulla privacy dei dati UE-USA segna un passo importante verso uno scambio di dati transatlantico sicuro, ma deve ancora affrontare sfide considerevoli. Resta da vedere se gli Stati Uniti affronteranno anche le preoccupazioni dell'EDPB sotto la nuova amministrazione, al fine di garantire un livello di protezione paragonabile agli standard di protezione dei dati dell'UE nel lungo periodo.