Il processo per l’adozione di una decisione che riconosca l’adeguatezza del livello di protezione dei dati offerto dall’ordinamento statunitense ha preso ufficialmente il via.
Il 13 dicembre, la Commissione Europea ha reso disponibile una bozza di decisione di adeguatezza, basata sul Data Privacy Framework siglato tra Unione Europea e Stati Uniti, al fine di garantire un livello adeguato di protezione dei dati personali trasferiti dal territorio UE a organizzazioni aventi sede negli USA.
USA e UE: una tutela equivalente
Alla luce della nuova intesa raggiunta con gli Stati Uniti, che sostituisce il Privacy Shield, la Commissione ha concluso che gli Stati Uniti offrano un livello di protezione dei dati sostanzialmente equivalente a quello garantito all’interno dell’Unione, riaprendo la strada ai trasferimenti di dati personali verso il territorio statunitense.
Una strada che, in virtù della sentenza “Schrems II”, pronunciata dalla Corte di Giustizia dell’Unione Europea nel luglio 2020, era stata interdetta, o quantomeno resa meno agevole, in considerazione dell’assenza di limiti effettivi e proporzionati per l’accesso da parte delle autorità pubbliche statunitensi, ai dati trasferiti oltreoceano, per fini di sicurezza nazionale. Con la stessa sentenza, la Corte di Giustizia rilevava, inoltre, l’inesistenza di autorità di controllo indipendenti e di strumenti di ricorso dinanzi ad organismi svincolati dalle influenze dell’esecutivo.
La bozza di decisione di adeguatezza fa seguito all’approvazione un Ordine Esecutivo[1] a parte del Presidente Biden il 7 ottobre 2022, che ha introdotto garanzie vincolanti e limitazioni all’accesso ai dati da parte delle agenzie di intelligence statunitensi, istituendo un meccanismo di ricorso indipendente e imparziale per gestire e risolvere i reclami degli europei avverso la raccolta di dati personali per finalità di salvaguardia della security interna.
Il primo passo verso la decisione definitiva, attesa per il 2023
La quadratura del cerchio, però, non è ancora stata raggiunta. Si attende, adesso, il parere del Comitato Europeo per la Protezione dei Dati e, successivamente, il nulla osta da parte di un comitato composto da rappresentanti degli Stati membri dell’UE e l’eventuale esercizio dei poteri di controllo del Parlamento europeo. La decisione definitiva, prevista non prima della primavera 2023, costituirà un presidio di sicurezza per i flussi di dati tra esportatori europei e gli importatori statunitensi presenti nella “Data Privacy Framework List”, ossia una lista delle organizzazioni che dichiareranno la propria adesione al Data Privacy Framework.
Certamente, è auspicabile che questo nuovo quadro di garanzie sia basato su un bilanciamento effettivo tra tutela dei diritti e delle libertà delle persone fisiche all’interno dell’Unione e difesa dei confini nazionali statunitensi.
–
[1] Executive Order of October 7, 2022, “Enhancing Safeguards for United States Signals Intelligence Activities.”