Il 6 settembre il deputato francese e membro del CNIL Philippe Latombe ha presentato alla Corte di giustizia dell'UE una richiesta di annullamento del Quadro sulla privacy dei dati UE-USA, come riportato da Politico.
L'azione legale contro il Data Privacy Framework era ampiamente prevista. Tuttavia, l'azione di Latombe potrebbe essere di breve durata, poiché vi sono ostacoli procedurali per portare il caso alla Corte.
Questo blog spiegherà cosa sta succedendo con il Data Transfer Framework e perché i requisiti procedurali potrebbero segnare una fine prematura per la battaglia legale di Latombe.
- Cos'è il Quadro sulla privacy dei dati?
- Qual è la storia del Data Privacy Framework?
- Riuscirà Latombe a invalidare il quadro normativo?
- Come si evolverà la situazione a lungo termine?
- Conclusioni
Cos'è il Quadro sulla privacy dei dati?
Il Quadro transatlantico sulla privacy dei dati (DPF) è un quadro per il trasferimento dei dati tra l'UE e gli Stati Uniti. Il DPF è in vigore da luglio e consente trasferimenti semplici e conformi al GDPR di dati personali tra l'UE e gli USA.
In altre parole, il GDPR prevede regole e standard specifici per il trasferimento di dati al di fuori dell'UE e il DPF aiuta le organizzazioni a rispettarli. Senza il quadro, alcuni trasferimenti di dati tra l'UE e gli USA sarebbero impossibili o più difficili.
Il Quadro non è un accordo di diritto internazionale, ma piuttosto una combinazione di atti giuridici interni alle legislazioni europea e statunitense. L'anno scorso il Presidente degli Stati Uniti Joe Biden ha pubblicato un ordine esecutivo(EO 14068) per limitare i poteri delle agenzie di sorveglianza di spiare i dati europei. A luglio, inoltre, la Commissione europea ha adottato una decisione di adeguatezza, un atto che in sostanza "autorizza" un Paese a essere una destinazione sicura per i trasferimenti di dati ai sensi del GPDR.
Per ulteriori informazioni sul DPF e sui meccanismi di trasferimento dei dati previsti dal GDPR, visitate il nostro blog sull'argomento.
Qual è la storia del Data Privacy Framework?
Abbiamo già scritto ampiamente su questo argomento, quindi ecco la versione breve.
Il DPF non è il primo quadro di questo tipo tra l'UE e gli USA. Altri due quadri - l'accordo Safe Harbor e il Privacy Shield - hanno svolto la stessa funzione in passato. Tuttavia, entrambi i quadri sono stati invalidati dalla Corte di giustizia dell'UE nelle decisioni Schrems I e II. Le sentenze riguardavano la sorveglianza degli Stati Uniti sui dati stranieri e hanno evidenziato che i vecchi quadri non erano sufficienti a salvaguardare i dati europei dalle agenzie di intelligence.
Dopo Schrems II, l'ONG per la privacy noyb ha spinto per un'applicazione più rigorosa di Schrems II attraverso un'azione legale strategica rivolta a Google Analytics, uno strumento di analisi web che elabora i dati dei visitatori negli Stati Uniti. Il contenzioso di noyb ha portato al divieto di fatto di Google Analytics in diversi Stati membri e ha scatenato un acceso dibattito sulla legittimità dei trasferimenti di dati tra UE e USA ai sensi del GDPR.
Il DPF mira a porre fine a questa situazione di incertezza cronica, trovando un equilibrio tra la privacy individuale e la necessità di condurre la sorveglianza elettronica per la difesa nazionale.
Il governo statunitense e la Commissione europea hanno lavorato a stretto contatto per garantire che il nuovo quadro normativo potesse resistere all'esame della Corte di giustizia dell'UE (CGUE). L'ordine esecutivo pubblicato dal Presidente degli Stati Uniti limita in qualche modo le agenzie di sorveglianza nella misura in cui possono ficcare il naso nei dati europei e introduce un nuovo sistema di supervisione e di ricorso contro gli abusi. Gli Stati Uniti e la Commissione europea sperano che queste nuove regole consentano al DPF di sopravvivere a una sentenza "Schrems III".
Riuscirà Latombe a invalidare il quadro normativo?
Ne dubitiamo, perché gli ostacoli procedurali potrebbero impedire che il merito venga discusso in primo luogo.
La maggior parte dei casi arriva alla CGUE attraverso una sentenza preliminare. In altre parole, il caso viene prima portato davanti al tribunale di uno Stato membro e poi rinviato alla CGUE dal giudice competente per chiarire l'interpretazione del diritto europeo. È così che anche i casi Schrems I e II sono arrivati alla CGUE.
Il caso del signor Latombe è diverso perché ha presentato la sua richiesta come azione diretta: si è rivolto direttamente alla Corte e ha chiesto l'annullamento del DPF.
Questa strategia ha i suoi pro e i suoi contro. Da un lato, il ricorso diretto evita completamente i tribunali nazionali, riducendo drasticamente il tempo necessario per ottenere una decisione dalla CGUE. D'altro canto, il diritto dell'UE prescrive requisiti piuttosto rigidi per i ricorsi diretti: il richiedente deve sostenere con successo che il DPF lo riguarda direttamente e individualmente. Questo potrebbe essere un problema per il signor Latombe, che non è più interessato dal DPF di qualsiasi altro cittadino dell'UE.
Tradizionalmente, il requisito dell'interesse diretto e individuale è stato preso molto sul serio dalla CGUE. Per questo motivo la Corte probabilmente respingerà il ricorso senza discuterne il merito.
Speriamo di essere smentiti, perché il destino del DPF è fonte di grande incertezza giuridica e molte organizzazioni trarrebbero grande beneficio dalla chiarezza che una decisione della CGUE porterebbe.
Come si evolverà la situazione a lungo termine?
Anche se il ricorso di Latombe sarà dichiarato irricevibile, qualcun altro si farà avanti. Noyb ha già annunciato l'intenzione di impugnare il quadro normativo e anche altre organizzazioni di difesa potrebbero intervenire.
Quindi, prima o poi la CGUE deciderà il destino del DPF. Ed è difficile dire come andranno le cose.
Le opinioni sul nuovo quadro normativo sono piuttosto polarizzate nella comunità della privacy. Alcuni ritengono che il DPF sia la soluzione tanto attesa. Altri, tra cui noyb, lo considerano una riverniciatura del Privacy Shield e si aspettano che la CGUE lo abbatta non appena la palla passa nel suo campo.
La verità probabilmente sta nel mezzo: il DPF è nel complesso un passo avanti rispetto al passato, ma alcuni aspetti dell'ordine esecutivo di Joe Biden sono ancora motivo di preoccupazione e potrebbero costituire un problema per la Corte di giustizia.
Le stesse istituzioni europee sono divise sui meriti del quadro. La Commissione è, ovviamente, un'entusiasta sostenitrice del DPF. D'altro canto, il Parlamento europeo ha respinto il DPF a grande maggioranza. Il voto del Parlamento non è vincolante, ma potrebbe influenzare il tono del dibattito ed esercitare una certa pressione sulla CGUE. Infine, il Comitato europeo per la protezione dei dati ha adottato un parere piuttosto prudente sul quadro normativo, forse per evitare di influenzare un dibattito già polarizzato.
Conclusioni
Crediamo che la privacy riguardi tutti e che le aziende debbano essere responsabili nel modo in cui raccolgono i dati. Per questo abbiamo creato Simple Analytics: lo strumento di analisi web che fornisce alle aziende tutti gli approfondimenti di cui hanno bisogno, senza toccare i dati personali. Se vi sembra una buona idea, non esitate a provarci!