La società nella quale viviamo non è mai stata tanto globale e non è mai stato così tanto datocentrica. Difficile, per non dire impossibile, in una società del genere immaginare confini geopolitici oltre i quali i dati – inclusi, naturalmente, quelli personali – non possano circolare.
Quando un’ipotesi del genere si registra, semplicemente, la società – in una qualsiasi delle sue componenti – non funziona.
Se poi questo accade lungo rotte quotidianamente battute da quantità tali di dati alle quali è persino difficile ricollegare un numero noto e pronunciabile, comprendendone il significato, allora il rischio paralisi diventa rapidamente certezza. È il caso della rotta Europa-USA, per decine di ragioni diverse, ivi inclusa, naturalmente, il fatto che negli USA sono stabiliti i più grandi fornitori di servizi digitali al mondo, fornitori che hanno letteralmente colonizzato nell’ultimo ventennio l’intera Europa.
Si tratta, vale la pena di essere chiari per evitare fraintendimenti, di una constatazione amara che mina, sfortunatamente, la nostra sovranità, autonomia, indipendenza e libertà in una pluralità di direzioni diverse ma tanto non basta per far finta che le coste non stiano così. E mentre ha certamente senso lavorare per fare in modo che questo stato di cose non duri per sempre, non ha davvero alcun senso illudersi che le cose possano cambiare dalla sera alla mattina perché non è così e, semplicemente, non accadrà.
Cos’è il Data Privacy Framework
Tanto basta per comprendere perché è fondamentale che i dati personali circolino quanto più agevolmente e liberamente possibile tra Europa e Stati Uniti. A questo serve – o, almeno, dovrebbe servire – il c.d. EU-US Data Privacy Framework” (“DPF”) approvato lo scorso 10 luglio 2023 dalla Commissione Europea per superare i problemi emersi nel luglio del 2020, dopo che la Corte di Giustizia dell’Unione europea aveva annullato la decisione della stessa Commissione UE, c.d. Privacy Shield, che avrebbe, appunto, dovuto assicurare analoga circolazione dei dati personali lungo la stessa rotta.
Un cantiere fermo
Insomma, i non addetti ai lavori della privacy possono immaginarsi il DPF come una sorta di cantiere per la ristrutturazione di un ponte chiuso per ordine dei Giudici europei del Lussemburgo secondo il progetto tratteggiato dagli stessi giudici. Ora, a meno di un anno dall’apertura di quel cantiere, nei giorni scorsi, lo European Data Protection Board (EDPB), il Comitato europeo che riunisce tutte le Autorità di protezione dei dati personali, ha chiuso una sua prima ispezione su quel cantiere e pubblicato il relativo verbale, fuor di metafora il rapporto sulla prima revisione del Data Privacy Framework.
La sintesi per i più pigri è questa: non male ma non (ancora) bene, tanto tanto lavoro da fare sul versante americano del ponte per rendere, per davvero, la disciplina statunitense in fatto di protezione dei dati personali non eguale – non serve che lo sia e non lo sarà, probabilmente, mai – ma almeno simile, negli aspetti che contano di più, rispetto a quella europea.
In particolare, l’EDPB riconosce gli sforzi del Dipartimento del Commercio degli Stati Uniti (DoC) nell’implementare il processo di auto-certificazione per le aziende statunitensi: sono stati creati un nuovo sito web e avviate numerose attività di sensibilizzazione per promuovere la comprensione del Data Privacy Framework.
Tuttavia, nonostante questi encomiabili sforzi, il Comitato Europeo esprime preoccupazione per la mancanza di un controllo ex officio e di azioni di contrasto strutturali da parte del DoC per quanto riguarda la conformità sostanziale delle aziende autocertificate a tutti i principi del DPF.
Insomma, per ora, nella sostanza, un’azienda USA dichiara di ispirarsi, nel trattamento dei dati personali, ai principi del DPF e, quindi, su questa base, inizia a importare dati personali dall’Europa senza che nessuno controlli per davvero, se non dietro specifica segnalazione di un interessato, che le coste stiano per davvero così. Ma le segnalazioni sono quantitativamente irrilevanti.
Da qui una prima importante conclusione dell’EDPB: senza un’attività di monitoraggio di ufficio il Data Privacy Framework difficilmente garantirà gli obiettivi per i quali è stato costruito.
Un altro punto critico riguarda l’Accountability for Onward Transfer”, vale a dire la responsabilità delle aziende certificate statunitensi nel trasferire i dati personali verso Paesi terzi. L’EDPB sollecita il DoC a pubblicare una guida pratica che chiarisca i requisiti che le aziende certificate DPF devono soddisfare quando trasferiscono i dati ai Paesi terzi.
Il rapporto affronta anche la questione della divergenza interpretativa tra UE e Stati Uniti sulla nozione di “HR data”, i dati relativi ai dipendenti. Mentre il DoC adotta un’interpretazione restrittiva, l’EDPB sostiene un’interpretazione più ampia – in linea con la normativa europea – includendo qualsiasi dato personale trattato nel contesto di una relazione di lavoro.
L’EDPB incoraggia, anche in questo caso, il DoC a sviluppare una guida che riconosca la definizione ampia di “dati HR” e fornisca esempi pratici di come tali dati vengono elaborati nell’ambito del DPF.
Per quanto riguarda l’accesso da parte delle Autorità pubbliche statunitensi ai dati personali trasferiti dall’UE – ovvero una delle ragioni principali per le quali il precedente Privacy Shield non aveva resistito alla valutazione dei Giudici della Corte di Giustizia dell’Unione europea – l’EDPB si concentra sull’effettiva attuazione delle garanzie introdotte dall”Executive Order 14086” nel quadro giuridico degli Stati Uniti, come i principi di necessità e proporzionalità. Se l’executive ordine troverà ampia e effettiva applicazione, il DPF funzionerà.
In caso contrario tanto vale prepararsi al peggio ovvero a una nuova chiusura del ponte. Nel rapporto dell’EDPB questo non c’è scritto ma è una verità difficilmente superabile. Il rapporto esprime anche preoccupazione per la ri-autorizzazione della Sezione 702 del Foreign Intelligence Surveillance Act (FISA). Sul punto l’EDPB evidenzia il rischio di una sorveglianza più invasiva che potrebbe compromettere le garanzie previste dal diritto europeo.
In conclusione, l’EDPB formula una serie di raccomandazioni chiave, tra cui: aumentare i controlli sulla conformità delle aziende auto-certificate al Data Privacy Framework, fornire una guida pratica sul principio di “Accountability for Onward Transfer “e sulla nozione di “dati HR”, chiarire l’interpretazione e l’applicazione dei principi di necessità e proporzionalità da parte delle agenzie di intelligence statunitensi alla luce del “Executive Order 14086”, valutare ulteriormente l’acquisizione di dati personali da parte delle agenzie di intelligence statunitensi dai broker di dati.
L’EDPB accoglie con favore la proposta della Commissione di effettuare la prossima revisione periodica del Data Privacy Framework – auspicabilmente – entro tre anni perché ciò consentirà di valutare i progressi compiuti e di affrontare le criticità in modo tempestivo.
Il dialogo continuo tra UE e Stati Uniti, unito a un monitoraggio rigoroso, saranno fondamentali per garantire la protezione dei dati personali dei cittadini europei trasferiti negli USA. La loro assenza produrrebbe, inesorabilmente, un rapido ritorno al passato con tutte le ben note conseguenze. Staremo a vedere.