Privacy Framework: la certezza dell’incertezza
La Commissione Europea in data 10 luglio 2023 ha adottato la decisione di adeguatezza per l’EU-US Data Privacy Framework e cioè l’accordo per il trasferimento dei dati personali dall’Europa agli Stati Uniti.
Detto in termini semplici, dall’11 luglio 2023 è di nuovo possibile effettuare il trasferimento dei dati personali in US alle aziende americane che partecipano al Framework, senza la necessità di adottare ulteriori garanzie per la protezione dei dati.
Ma vi è di più. Il Framework fa capire che il lavoro effettuato dagli Stati Uniti anche con il supporto dell’Europa ha fatto sì che i punti critici che avevano fatto decadere il precedente accordo con sentenza della Corte di Giustizia Europea siano stati superati. Gli Stati Uniti ad oggi hanno adottato delle salvaguardie vincolanti limitando l’accesso ai dati provenienti dall’Europa da parte dei servizi di intelligence statunitensi a ciò che è necessario e proporzionato e istituendo un Tribunale di Revisione sulla Protezione dei Dati (Data Protection Review Court, DPRC), a cui gli individui dell’UE avranno accesso. Tornano pertanto valide anche le clausole contrattuali standard senza la necessità di adottare ulteriori e spesso inattuabili misure di sicurezza. Ciò vuol dire che anche laddove una società americana non aderisca al Framework, con l’adozione di opportune clausole contrattuali standard, il trasferimento potrà avvenire lecitamente.
Quindi si potrà utilizzare, ad esempio, nuovamente Google Analytics senza porsi la domanda, paragonabile solo a quella “è nato prima l’uovo o la gallina?”, che ha fatto perdere il sonno a giuristi e informatici e cioè “GA 4 sarà lecito?”
Da oggi i vari DPO, consulenti, tecnici informatici, potranno entrare nelle aziende senza avere l’incubo di trovare qualche outsourcer americano soggetto alla FISA 702, magari strategico per l’azienda, e dover dire alla stessa “mi spiace, cambialo”.
Quindi, tutto positivo?
No.
Si sta infatti già assistendo a una alzata di scudi da parte di numerosi giuristi, che affermano come tutto questo sarà provvisorio in attesa di un nuovo annullamento da parte della Corte di Giustizia Europea, dato per certo, aggiungendo come le garanzie fornite dagli Stati Uniti non siano idonee a garantire la riservatezza al pari dell’Europa.
Io ho la fortuna di lavorare spesso con colleghi americani e con aziende degli Stati Uniti e di aver studiato le nuove normative locali (es CCPA) in maniera approfondita e pratica, dovendo spesso fare anche dei parallelismi con il GDPR. Ebbene, quello che posso dire è che noto una direzione precisa in US: il cercare di essere sempre più rispettosi dei diritti alla riservatezza e di avvicinarsi all’Europa come garanzie fornite agli interessati. Basta analizzare i testi delle nuove normative per capire come ormai la direzione intrapresa sia quella. Certo, c’è ancora tanto da fare e la tutela della riservatezza in Europa è di certo ancora maggiore, ma siamo così sicuri che gli Stati Uniti non ci arriveranno? Siamo così sicuri che davanti a un nuovo ricorso e coi tempi dello stesso, non si presenteranno con ulteriori e nuove garanzie? E siamo così sicuri che le attuali non reggeranno ad una nuova sentenza?
Io purtroppo non ho la sfera magica che molti sembrano avere. Sono un semplicissimo amante del diritto che si limita a prendere atto di una situazione allo stato di fatto cercando di analizzare i possibili scenari futuri. Tra questi vi è sicuramente quello che vede un annullamento del Framework e una dichiarazione che le garanzie in US non sono ancora sufficienti. Ma è uno scenario, non la certezza. L’unica certezza è quella del diritto. A oggi il diritto indica che il trasferimento, con le opportune garanzie, è lecito.
Ma quindi come dovrebbe comportarsi un’azienda? A mio avviso laddove vi siano strumenti che non prevedano un trasferimento di dati al di fuori della Comunità Europea (non solo in US), se gli stessi hanno lo stesso grado di efficacia degli altri e un costo sostenibile, la loro adozione è auspicabile per non vedersi tra uno, due o tre anni con la necessità di dover cambiare tutto il proprio sistema.
Ma laddove non vi siano in Europa strumenti che permettano un rapporto costo beneficio pari a quello che si avrebbe con l’adozione di strumenti che prevedano un trasferimento di dati extra UE, non vedo perché l’azienda non dovrebbe adottare questi ultimi per la paura di qualcosa che potrebbe avvenire in futuro, ma non è certa.
In conclusione non mi va di fare come chi va in vacanza col sole ma non se lo gode perché tanto prima o poi pioverà.
Ritengo che il nuovo Framework sia positivo per le aziende e dia finalmente una certezza. Sono fiducioso sull’evoluzione del diritto americano e del fatto che i dati saranno sempre più tutelati. Se poi non sarà così, apriremo l’ombrello.
Ma quanto bello è nel frattempo godersi un po’ di sole?
Author: Lorenzo Baldanello
Legal expert. Collaborates with The Deeping on law-related articles