Sarà valido l'EO di Biden sui trasferimenti di dati?

Image of Carlo Cilento

Pubblicato il 14 nov 2022 e modificato il 14 ago 2023 da Carlo Cilento

In un recente comunicato stampa (solo in tedesco), il Commissario di Stato per la protezione dei dati e la libertà di informazione del Baden-Württemberg Stefan Brink ha espresso le sue critiche all'ordine esecutivo del Presidente degli Stati Uniti Joe Biden sul trasferimento dei dati.

Per essere chiari, il Commissario non è l'autorità per la protezione dei dati del Baden-Württemberg e le sue posizioni non riflettono necessariamente quelle dell'autorità. Tuttavia, è la prima istituzione per la tutela della privacy in Europa a commentare l'ordine esecutivo, quindi le sue critiche meritano di essere prese in considerazione. Ma prima di tutto, abbiamo bisogno di un po' di contesto.

  1. Le conseguenze di Schrems II
  2. Il nuovo ordine esecutivo
  3. Il comunicato stampa del DPO
    1. Riflessioni finali
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Scopriamolo!

Le conseguenze di Schrems II

Abbiamo già scritto ampiamente sui trasferimenti di dati qui, quindi ecco la storia in breve. Nel 2020 la Corte di giustizia dell'UE ha emesso la storica sentenza Schrems II. Questa sentenza ha reso complicati i trasferimenti di dati verso gli Stati Uniti per le aziende del SEE per diversi motivi.

Prima della sentenza, i dati personali potevano essere trasferiti negli Stati Uniti sulla base di un quadro per il trasferimento dei dati chiamato Privacy Shield. La Corte di giustizia ha invalidato il quadro normativo nella sentenza Schrems II, costringendo le aziende ad affidarsi a strumenti diversi per esportare legalmente i propri dati.

La maggior parte delle aziende deve affidarsi alle clausole contrattuali standard (SCC). Le SCC sono una serie di clausole giuridicamente vincolanti redatte dalla Commissione europea, che devono essere incorporate in un contratto giuridicamente vincolante con il destinatario dei dati. Tuttavia, le SCC non vincolano lo Stato destinatario. Questo è problematico: La sorveglianza statunitense è al centro del caso Schrems e le SCC non possono impedire alla NSA di accedere ai dati europei.

La sentenza Schrems II si è occupata anche delle SCC, esaminandone la validità come meccanismo per il trasferimento dei dati. La Corte ha stabilito che le SCC sono un meccanismo valido per il trasferimento dei dati anche quando si tratta di Stati "non sicuri", a condizione che il responsabile del trattamento dei dati metta in atto garanzie aggiuntive efficaci per proteggere i dati. In pratica, questo è difficile da fare e del tutto impossibile per alcuni tipi di trasferimenti. Pertanto, la Corte ha sostanzialmente "risparmiato" i CSM, rendendoli però molto più complicati.

Dopo Schrems II, le autorità europee per la protezione dei dati hanno iniziato ad adottare un approccio più duro nei confronti dei trasferimenti di dati. Cinque autorità di protezione dei dati hanno praticamente vietato Google Analytics (ne abbiamo scritto diffusamente) e il DPC ha annunciato una bozza di decisione per bloccare i trasferimenti di dati per Meta Platforms Ireland. Queste DPA stanno seguendo un approccio coordinato1, quindi c'è la possibilità concreta che altre seguano il loro esempio e che altri fornitori di servizi statunitensi finiscano sotto tiro. Ciò crea un clima di incertezza giuridica sui trasferimenti di dati negli Stati Uniti.

Il nuovo ordine esecutivo

Il recente ordine esecutivo di Joe Biden è un primo passo verso un nuovo quadro chiamato Trans-Atlantic Data Privacy Framework. L'ordine implementa alcune regole materiali per limitare la portata della sorveglianza e stabilisce un sistema contorto per fornire ai cittadini dell'UE2 rimedi giudiziari.

Nei prossimi mesi seguirà quasi certamente una decisione di adeguatezza da parte della Commissione europea, che sostanzialmente autorizzerà gli Stati Uniti a diventare un Paese "sicuro" per il trasferimento dei dati. Ciò consentirà alle aziende europee di trasferire dati personali senza la necessità di implementare SCC e salvaguardie aggiuntive.

Le aziende di entrambe le sponde dell'Oceano sperano che il nuovo quadro normativo porti certezza giuridica e consenta trasferimenti di dati senza problemi. Tuttavia, la futura decisione di adeguatezza sarà sicuramente oggetto di esame da parte della Corte di giustizia. L'ONG per la privacy noyb ha criticato il nuovo quadro e probabilmente lo contesterà alla Corte di giustizia.

Il comunicato stampa del DPO

Nei prossimi mesi, l'EDPB emetterà un parere sulla questione come parte della procedura decisionale per la decisione di adeguatezza. Sebbene il parere del Comitato non sia vincolante, ci fornirà una migliore comprensione delle questioni centrali di Schrems III.

Nel frattempo, il Commissario per la protezione dei dati e la libertà d'informazione dello Stato tedesco del Baden-Württemberg ha espresso alcune preoccupazioni sul nuovo ordine esecutivo. È interessante notare che alcune delle questioni sollevate dal Commissario sono state evidenziate anche da noyb in un recente comunicato stampa (lo stesso che abbiamo linkato sopra):

  • Le persone che presentano un reclamo ricevono pochissime informazioni sulla decisione. Questo può rendere le decisioni difficili da impugnare nella pratica.
  • La Corte di revisione della protezione dei dati (che ha l'ultima parola su qualsiasi reclamo in materia di sorveglianza) è un ramo dell'esecutivo e non fa parte del sistema giudiziario statunitense. Non è chiaro se la CGUE considererà questa Corte indipendente.
  • Il fatto che l'ordine esecutivo menzioni la proporzionalità3 non significa che il sistema di sorveglianza statunitense sia effettivamente proporzionale, poiché il concetto di proporzionalità può essere interpretato in modo diverso dalla Corte di revisione della protezione dei dati e dalla Corte di giustizia dell'UE.

Il Commissario ha espresso anche altre preoccupazioni. Ad esempio, gli ordini esecutivi sono revocabili a piacimento dal Presidente, il che li rende inadatti a proteggere i diritti individuali. Inoltre, non è ancora chiaro come l'ordine esecutivo interagirà con le norme di sorveglianza esistenti.

Riflessioni finali

L'ordine esecutivo è molto complesso e ci vorrà un po' di tempo prima che la comunità della privacy riesca a decifrarlo. È difficile dire come si svolgerà un caso "Schrems III", ma è già chiaro che il nuovo quadro è potenzialmente problematico sotto diversi aspetti. Nel complesso, il futuro dei trasferimenti di dati negli Stati Uniti non è ancora chiaro.

Noi di Simple Analytics vi terremo aggiornati sulla questione attraverso la nostra newsletter sulla privacy. Se volete andare sul sicuro, esistono alternative a Google Analytics rispettose della privacy e conformi al GDPR. Noi siamo una di queste. Non esitate a dare un'occhiata a ciò che stiamo costruendo qui. A differenza di Google, crediamo nella creazione di un web indipendente che sia amichevole per i visitatori del sito. Se questo aspetto vi convince, non esitate a provarci.

#1 Le decisioni contro Google Analytics sono legate a 101 reclami presentati dalla ONG noyb in merito al trasferimento dei dati. L'EDPB ha istituito una task force per coordinare l'approccio delle autorità di protezione dei dati a livello europeo. [^2]: Il sistema sarà accessibile a tutti i cittadini dell'UE, che godono dei diritti di protezione dei dati ai sensi del GDPR indipendentemente dalla loro cittadinanza [^3]: La proporzionalità è una nozione specifica del diritto dell'UE e ha svolto un ruolo importante nella decisione Schrems II. In questo contesto, e come regola generale, si può pensare che una misura (come la sorveglianza dello Stato) sia proporzionata quando è necessaria per uno scopo legittimo e non eccessiva. Si veda l'art. 52(1) della Carta dei diritti fondamentali dell'Unione europea.

GA4 è complesso. Prova Simple Analytics

GA4 è come sedersi in cabina di un aereo senza licenza di pilota

Inizia prova di 14 giorni