Le migliaia di aziende in attesa che un nuovo accordo di condivisione dei dati USA-UE entri presto in vigore e faciliti il gravoso lavoro legale necessario per il trasferimento transfrontaliero dei dati, non dovrebbero ancora cantare vittoria. L’ordine esecutivo del presidente degli Stati Uniti Joe Biden di attuare le regole per il Trans-Atlantic Data Policy Framework concordato all’inizio di quest’anno è una mossa nella giusta direzione, ma il nuovo patto non entrerà in vigore almeno fino alla prossima primavera e anche allora è destinato ad affrontare ostacoli politici e legali.

L’ordine esecutivo, firmato da Biden il 7 ottobre, pone nuove restrizioni alla sorveglianza elettronica da parte delle agenzie di intelligence americane e offre agli europei nuove strade per presentare una denuncia quando ritengono che le loro informazioni personali siano state utilizzate illegalmente dalle agenzie di intelligence statunitensi. La mossa del Presidente USA arriva due anni dopo che la Corte di giustizia europea ha bloccato il precedente accordo di condivisione dei dati UE-USA noto come Privacy Shield nel 2020 sulla base del fatto che gli Stati Uniti non fornivano un’adeguata protezione dei dati personali, in particolare in relazione alla sorveglianza statale.

Il nuovo Trans-Atlantic Data Policy Framework ha lo scopo di migliorare le salvaguardie della privacy degli Stati Uniti, sostituire il Privacy Shield e superare il controllo della Corte di giustizia quando si presenteranno le previste contese legali. Tuttavia, nonostante sia l’amministrazione Biden, sia la Commissione europea abbiano rilasciato dichiarazioni a sostegno del patto sui dati appena proposto, secondo Jonathan Armstrong (avvocato britannico specializzato in conformità e tecnologia), l'”affare” è ancora lontano dall’essere concluso.

“La Casa Bianca e la Commissione europea sono sicuramente fiduciose, ma ci siamo già trovati in questa situazione ed è successo quando entrambe le parti sostenevano che il Privacy Shield avrebbe resistito al controllo giudiziario. E sappiamo tutti com’è andata a finire”, ha detto Armstrong.

Quali sono le prospettive per il Trans-Atlantic Data Policy Framework

In primo luogo, l’UE deve confermare che le nuove regole stabilite dall’ordine esecutivo di Biden sono adeguate per soddisfare gli standard concordati nel quadro transatlantico, che a sua volta è stato creato per offrire protezioni della privacy equivalenti al GDPR dell’UE. Nei prossimi mesi, la Commissione europea avvierà una procedura di adozione, che includerà la consultazione con il Comitato europeo per la protezione dei dati (EDPB) e l’ottenimento dell’approvazione da parte di un comitato composto da rappresentanti degli Stati membri dell’UE.

Anche il Parlamento europeo probabilmente vorrà esaminare l’accordo prima che venga ratificato, ha detto Armstrong. Nel frattempo, Max Schrems, l’attivista e avvocato austriaco le cui denunce contro Facebook per le violazioni del GDPR hanno portato alla scomparsa del Privacy Shield, ha già detto che potrebbe contestare l’accordo con il suo gruppo di pressione NOYB. “A prima vista sembra che le questioni fondamentali non siano state risolte e prima o poi tutto tornerà nelle mani della Corte di giustizia europea”, ha detto Schrems in una dichiarazione pubblicata da NOYB.

ue-us privacy_shield

Il pericolo della sorveglianza di massa

Un grosso problema con l’ordine esecutivo di Biden e con lo stesso Trans-Atlantic Data Policy Framework, secondo Schrems, è che non affronta adeguatamente la sorveglianza di massa da parte delle agenzie di intelligence statunitensi. L’ordine esecutivo richiede infatti che le attività di intelligence degli Stati Uniti siano condotte “solo quando necessario per far avanzare una priorità di intelligence convalidata e solo nella misura e in un modo proporzionato a tale priorità”. Ma, mentre la legge dell’UE richiede anche una sorveglianza proporzionata, non vi è alcuna indicazione che la sorveglianza di massa degli Stati Uniti cambierà nella pratica.

Inoltre, mentre l’ordine di Biden richiede al Dipartimento di Giustizia degli Stati Uniti di istituire un tribunale di revisione della protezione dei dati per affrontare i reclami sulla sorveglianza, secondo NOYB non è un vero tribunale, ma piuttosto un organismo all’interno del ramo legale del governo degli Stati Uniti. NOYB ha anche sottolineato che un ordine esecutivo non è legge, ma una direttiva del presidente degli Stati Uniti rivolta al ramo federale del governo.

La lobby dell’American Civil Liberties Union (ACLU) è d’accordo. “I problemi con il regime di sorveglianza degli Stati Uniti non possono essere risolti solo da un ordine esecutivo”, ha scritto Ashley Gorski, avvocato senior dello staff dell’ACLU National Security Project, in una dichiarazione dell’ACLU. “Per proteggere la nostra privacy e porre i trasferimenti di dati transatlantici su una solida base legale, il Congresso deve attuare una riforma significativa della sorveglianza. Fino a quando ciò non accadrà, le aziende e gli individui statunitensi continueranno a pagarne il prezzo”.

Perché le aziende vogliono un nuovo Privacy Shield

Secondo Lartease Tiffith, vicepresidente esecutivo per le politiche pubbliche presso il gruppo commerciale Interactive Advertising Bureau (IAB) con sede a New York, le aziende americane vogliono che entri in vigore un nuovo accordo sul trasferimento dei dati per ridurre i laboriosi negoziati legali attualmente necessari per condurre trasferimenti di dati attraverso l’Atlantico, per garantire che lo stiano facendo in un modo che soddisfi gli standard dell’UE e per evitare azioni esecutive da parte delle autorità di protezione dei dati dell’UE (DPA).

In assenza di Privacy Shield o di un accordo simile, le aziende utilizzano le cosiddette clausole contrattuali standard per confermare che i trasferimenti di dati vengono effettuati in conformità con il GDPR. “Il problema è che sono molto laboriose: non le chiamerei nemmeno clausole contrattuali standard perché in qualche modo bisogna negoziare ognuna di esse e quindi il termine standard è probabilmente improprio”. Quasi il 70% delle oltre 5.000 aziende statunitensi che avevano aderito al Privacy Shield sono aziende di piccola entità che non hanno le risorse per negoziare più contratti con tutti i loro fornitori di dati e ciò rappresenta un onere anche per le grandi aziende. L’idea alla base del Privacy Shield e del nuovo framework è che, una volta che le aziende si autocertificano di aderire alle linee guida approvate, non devono più stabilire contratti individuali sulla privacy dei dati con ogni fornitore.

Sfide legali alle norme sul trasferimento dei dati

Tiffith ha affermato che l’ordine esecutivo di Biden è stato un passo nella giusta direzione, ponendo le basi per un accordo finale e ha sottolineato che i flussi di dati sono cruciali per lo sviluppo reciproco di tecnologie mediche, di sicurezza informatica e di altro tipo, nonché di media, pubblicità e beni di consumo. Anche così però, considerando le prime critiche emerse, “ci saranno delle resistenze legali all’accordo da superare”. Armstrong è d’accordo, restando ottimista ma non nascondendo gli ostacoli di ordine legale che l’ordine esecutivo di Biden potrebbe trovarsi ad affrontare.

Come risultato del processo di approvazione dell’UE e di queste possibili sfide, l’ordine è destinato a essere ritardato ed è improbabile che entri in vigore fino alla tarda primavera del 2023, ha detto Armstrong. Anche allora, la maggior parte delle organizzazioni vorrà ancora considerarlo come un accordo temporaneo e intanto continueranno a lavorare su altre misure di conformità, in particolare facendo una doppia due diligence sulle organizzazioni a cui stanno inviando dati e sulle misure in atto in quella giurisdizione.