L'Unione Europea e gli Stati Uniti hanno annunciato un accordo su un nuovo quadro per il flusso di dati transatlantici. (La dichiarazione dell'UE è disponibile qui e quella degli USA qui).
L'accordo è una risposta all'invalidazione dello scudo per la privacy da parte di Schrems II nel 2020. La questione è stata trattata in modo approfondito nei mesi scorsi, soprattutto per quanto riguarda l'uso di Google Analytics. (Potete trovare il nostro riassunto qui e l'annuncio di CNIL e NOYB qui e qui).
L'accordo su un nuovo quadro per il trattamento dei dati all'estero non è accompagnato da un testo che possa essere analizzato a fini legali. L'annuncio è probabilmente inteso come un "accordo di principio" e funge da base per una "decisione di adeguatezza" nell'Unione Europea e per un ordine esecutivo negli Stati Uniti, che saranno redatti nei prossimi mesi. Tuttavia, per l'entrata in vigore dell'accordo è necessario che si verifichino ancora molte cose.
Conclusioni: L'annuncio è (ancora una volta) politico e privo di base giuridica. Il rossetto su un maiale...
È bello, vero?
- Il Privacy Shield 2.0 non ha alcuna base giuridica
- A che punto siamo?
- È possibile utilizzare Google Analytics?
- Aggiornamenti
Il Privacy Shield 2.0 non ha alcuna base giuridica
Ecco cosa ha detto Max Schrems:
Abbiamo già avuto un accordo puramente politico nel 2015 che non aveva alcuna base giuridica. Da quello che si sente dire, ora potremmo ripetere lo stesso gioco per la terza volta. L'accordo era apparentemente un simbolo voluto dalla von der Leyen, ma non ha il sostegno degli esperti a Bruxelles, poiché gli Stati Uniti non si sono mossi. È particolarmente spaventoso che gli Stati Uniti abbiano presumibilmente usato la guerra in Ucraina per spingere l'UE su questa questione economica.
Il testo finale avrà bisogno di più tempo e quando arriverà lo analizzeremo a fondo, insieme ai nostri esperti legali statunitensi. Se non sarà in linea con il diritto dell'UE, noi o un altro gruppo probabilmente lo impugneremo. Alla fine, la Corte di giustizia deciderà una terza volta. Ci aspettiamo che la Corte torni a pronunciarsi entro pochi mesi dalla decisione finale.
È deplorevole che l'UE e gli Stati Uniti non abbiano approfittato di questa situazione per giungere a un accordo "senza spie", con garanzie di base tra democrazie affini. I clienti e le imprese dovranno affrontare altri anni di incertezza giuridica.
A che punto siamo?
L'annuncio ha fatto pensare che uno scudo per la privacy 2.0 sia vicino, ma siamo ancora lontani da uno che funzioni davvero. Tuttavia, ci sono alcune cose che possiamo aspettarci.
Tribunale indipendente
Attualmente, gli Stati Uniti consentono un controllo minimo o nullo da parte di un tribunale indipendente per verificare se il trattamento dei dati personali è stato consentito. Il nuovo scudo per la privacy 2.0 cambierà questa situazione. Un nuovo tribunale indipendente per gestire le controversie relative al trattamento dei dati personali.
Autocertificazione
I servizi software con sede negli Stati Uniti dovranno nuovamente autocertificarsi per conformarsi al GDPR. Ciò significa che non tutti i servizi software con sede negli Stati Uniti potranno essere utilizzati immediatamente per il trattamento dei dati personali. Se volete utilizzare legalmente i servizi con sede negli Stati Uniti, dovete verificare se sono certificati.
È possibile utilizzare Google Analytics?
Nel frattempo, rimane in vigore la situazione attuale, in cui l'uso di servizi software con sede negli Stati Uniti viola il GDPR. Non esiste un documento legale che dica il contrario e probabilmente dovremo aspettare almeno un paio di momenti. Il rischio di multe è basso, ma le aziende che vogliono stare dal "lato buono" della legge violano la legge utilizzando servizi come Mailchimp o Google Analytics.
I servizi con sede negli Stati Uniti non sono gli unici strumenti software disponibili. Ci sono tonnellate di alternative europee ai servizi con sede negli Stati Uniti che sono conformi al GDPR. Ad esempio, abbiamo creato un'alternativa rispettosa della privacy a Google Analytics, chiamata Simple Analytics. È possibile consultare alternativeto.net (raccomandazioni di software in crowdsourcing) per trovare altre alternative rispettose della privacy in quasi tutte le categorie.
In conclusione, l'annuncio del nuovo accordo transatlantico sul flusso di dati è solo un annuncio politico (per ora). Abbiamo prima bisogno di un testo giuridico per prendere una "decisione di adeguatezza" su di esso. Ci vorranno mesi (e speriamo non anni) prima che lo scudo per la privacy 2.0 entri in vigore. Nel frattempo, l'utilizzo di servizi software con sede negli Stati Uniti viola la legge.
Aggiornamenti
Il nuovo quadro normativo sul trasferimento dei dati è in arrivo. Il Presidente degli Stati Uniti Joe Biden ha firmato un ordine esecutivo sulla sorveglianza elettronica nell'ottobre 2022 e la Commissione europea ha pubblicato una bozza di decisione di adeguatezza per gli Stati Uniti due mesi dopo.
La proposta sarà certamente approvata, ma probabilmente sarà anche contestata dalla CGUE. In altre parole, Schrems III è già all'orizzonte ed è difficile dire come si svolgerà.