Trasferimento di dati tra Europa e USA: un nuovo passo verso un quadro normativo

Nuovo colpo di scena: la Commissione Europea ha appena avviato il processo di adozione della decisione di adeguatezza relativa al quadro di protezione dei dati tra Europa e USA. Ricordiamo che una decisione di adeguatezza è un processo previsto dall’articolo 45 del GDPR, che autorizza e consente il trasferimento di dati personali dall’UE a un altro paese, garantendo un identico livello di protezione.

In concreto, questo progetto di decisione di adeguatezza fa seguito alla firma del decreto del 7 ottobre da parte di Joe Biden (che impone in particolare un limite all’accesso ai dati da parte dei servizi di intelligence americani), nonché ai regolamenti adottati da Merrick Garland, il procuratore generale degli Stati Uniti, che ha consentito di recepire l’accordo di principio siglato nel marzo 2022, e di imporre i nuovi obblighi di legge alle società americane. L’obiettivo: trovare un nuovo quadro normativo dopo l’invalidazione del Privacy Shield nel 2020, e consentire finalmente la circolazione dei dati tra Europa e Stati Uniti.

Con questa decisione di adeguatezza, la Commissione europea ritiene quindi che il quadro giuridico americano “offra garanzie paragonabili a quelle dell’UE” e conclude che “gli Stati Uniti assicurano un livello adeguato di protezione dei dati personali trasferiti dall’UE alle società statunitensi.”

Procedura per l’adozione della decisione di adeguatezza: quali sono i prossimi passi?

Assisteremo dunque presto ad un accordo definitivo tra USA ed Europa? Niente è meno sicuro.

In effetti, il progetto di decisione di adeguatezza dovrà passare attraverso una procedura di adozione. Per questo, il progetto è stato inviato al Comitato europeo per la protezione dei dati (GEPD), che interviene in particolare presso la Corte di giustizia dell’Unione europea (CGUE), per ottenere il suo parere. La Commissione dovrà poi ottenere l’approvazione di un comitato composto da rappresentanti degli Stati membri dell’Unione europea. Va inoltre notato che il Parlamento europeo ha “un diritto di controllo” su tutte le decisioni di adeguatezza. Molti attori devono quindi ancora intervenire prima di sperare in un accordo…

Tuttavia, una volta adottata la decisione di adeguatezza, “le entità europee potranno trasferire i dati personali alle società partecipanti negli Stati Uniti, senza dover predisporre ulteriori garanzie di protezione dei dati.”. Tuttavia, l’accordo sarà regolarmente rivisto dalla Commissione europea, dalle autorità europee per la protezione dei dati e dalle autorità statunitensi, al fine di verificarne la conformità e il rispetto delle norme del quadro giuridico nel tempo. Il primo riesame dovrebbe aver luogo l’anno successivo all’accettazione della decisione di adeguatezza.

Preoccupazioni ancora presenti

L’ONG austriaca NOYB (None Of Your Business), che si batte contro la protezione dei dati personali, e il suo presidente Max Schrems non hanno mancato di reagire a questo annuncio esprimendo i propri dubbi. NOYB ritiene che la legge statunitense aggiornata (Executive Order 14086) non sembri soddisfare i requisiti relativi alle restrizioni sull’accesso ai dati di intelligence e ritiene che vi sia ancora una “sorveglianza massiccia”.

Pertanto, l’ONG afferma: “Sembra ovvio che qualsiasi decisione di adeguatezza dell’UE basata sul decreto 14086 difficilmente soddisfi la CGUE. Ciò significa che il terzo accordo tra governo Usa e Commissione europea potrebbe fallire”.

La decisione finale su questo accordo non è prevista prima della primavera del 2023.