Sembra molto familiare, vero? Solo sette anni fa il mondo della privacy era preso dalla sentenza della Corte di giustizia dell'Unione europea (CGUE) nel caso Schrems I. La decisione ha portato alla scomparsa del quadro Safe Harbor e alla creazione dello scudo UE-USA per la privacy.

Per coincidenza, lo scudo è durato solo quattro anni prima che un secondo reclamo di Max Schrems portasse all'invalidazione del quadro da parte della Corte di giustizia europea nel luglio 2020. Nei 12 mesi successivi alla sentenza, le organizzazioni hanno dovuto fare i conti con l'incertezza sulla legalità dei loro trasferimenti di dati dall'UE agli Stati Uniti, con alcune autorità europee per la protezione dei dati che hanno stabilito che l'utilizzo di servizi di analisi con sede negli Stati Uniti era diventato illegale a seguito della sentenza.

Mentre la Commissione europea ha pubblicato clausole contrattuali standard (SCC) riviste e il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato linee guida sulle misure di trasferimento supplementari, sono proseguiti gli sforzi per concordare un nuovo quadro per i trasferimenti transatlantici di dati che soddisfacesse i criteri della Corte di giustizia europea. 

Verso la fine del 2022, la Commissione europea ha adottato la bozza di decisione di adeguatezza sul quadro UE-USA per la protezione dei dati personali che ha portato a più di sei mesi di deliberazioni. 

Quindi, in che modo questo nuovo quadro normativo è diverso da quello precedente? E quali sono le conseguenze di questo cambiamento?

L'accordo ''Safe Harbor''

Facciamo un passo indietro nel tempo: è il 2000 e la Commissione europea sta raggiungendo un accordo con le sue controparti statunitensi su un meccanismo di protezione dei dati personali dei cittadini dell'UE trasferiti negli Stati Uniti da aziende con sede negli Stati Uniti. L'accordo si basava su un processo di autocertificazione che consentiva alle aziende di dichiarare di proteggere i dati personali dei cittadini dell'UE in conformità ai termini dell'accordo.

Per oltre un decennio, le organizzazioni si sono affidate all'accordo Safe Harbor per trasferire i dati dall'UE agli Stati Uniti senza dover fare affidamento sulle SCC o su altri obblighi contrattuali. Tuttavia, nel 2013 Edward Snowden ha pubblicato documenti top secret dell'Agenzia per la Sicurezza Nazionale (National Security Agency, NSA) che hanno fatto luce sulle pratiche di sorveglianza del governo degli Stati Uniti.

Max Schrems ha presentato un reclamo relativo a tale accesso alla Commissione per la protezione dei dati (Data Protection Commission, DPC) irlandese in merito alle pratiche di condivisione dei dati di Facebook dal suo ufficio europeo alla sua sede centrale negli Stati Uniti.  

A seguito di un'escalation da parte del DPC alla Corte di giustizia dell'Unione europea, il Safe Harbor è stato annullato, il che significava che le organizzazioni che si affidavano all'accordo dovevano mettere in atto altre misure contrattuali per garantire che i dati personali fossero protetti secondo gli stessi standard richiesti dal GDPR. 

Scudo UE-USA per la privacy

A meno di sei mesi dall'annullamento dell'accordo Safe Harbor, l'UE e gli Stati Uniti hanno iniziato le trattative su un nuovo quadro per offrire una maggiore protezione dei dati personali dei cittadini dell'Unione. Nel luglio del 2016, la Commissione europea ha adottato formalmente lo scudo UE-USA per la privacy, il che ha consentito alle aziende di essere ancora una volta in grado di trasferire i dati personali dei cittadini dell'UE negli Stati Uniti facendo affidamento su questo meccanismo.

Nel frattempo, Max Schrems aveva già presentato un secondo reclamo al DPC. In questa occasione, si incentrava sull'utilizzo delle SCC da parte di Facebook per trasferire i dati personali dall'Unione europea agli Stati Uniti. Anche in questo caso, il reclamo è stato presentato alla Corte di giustizia dell'Unione europea insieme a 11 domande che il tribunale deve affrontare. Tra queste, se lo scudo per la privacy, recentemente adottato, fosse un meccanismo adeguato per proteggere i dati personali dell'UE dalle agenzie governative statunitensi.

Non era così. Il 16 luglio 2020, la Corte di giustizia dell'Unione europea ha pubblicato la decisione sul caso Schrems II in cui dichiara lo scudo UE-USA per la privacy non valido. La Corte ha sostenuto l'uitilizzo delle SCC, ma ha posto seri dubbi sulla loro efficacia.

Le conseguenze dal caso Schrems II

Anche se l'invalidazione di un quadro di trasferimento UE-USA non era uno scenario nuovo da affrontare, lo erano invece le ulteriori conseguenze e l'incertezza sulla validità delle SCC e di altri meccanismi di trasferimento.  

Il 12 novembre 2020, la Commissione europea ha pubblicato per la consultazione pubblica una serie di SCC riviste adottate a giugno 2021. Pochi giorni dopo, il Comitato europeo per la protezione dei dati ha adottato le raccomandazioni finali sulle misure supplementari di trasferimento che stabiliscono una tabella di marcia in sei fasi, tra cui la necessità di condurre una valutazione d'impatto del trasferimento e di individuare e attuare misure supplementari adeguate quando si trasferiscono dati personali in un paese terzo. 

Come nel 2015, le aziende hanno dovuto ancora una volta ripensare il modo in cui trasferiscono i dati personali. Solo che questa volta è stato richiesto loro di aggiornare i contratti esistenti con le nuove SCC entro un periodo di transizione di 18 mesi e di garantire l'adozione di misure supplementari per fornire un livello sostanzialmente equivalente di protezione dei dati.

Adottare il quadro UE-USA per la protezione dei dati personali

Nel marzo 2022, la Commissione europea ha annunciato il raggiungimento di un accordo preliminare con gli Stati Uniti su un nuovo quadro EU-USA per la protezione dei dati personali e l'inizio delle discussioni sui relativi dettagli. 

Secondo la bozza, le autorità di sorveglianza nazionali sarebbero tenute a rispettare standard più severi per quanto riguarda i dati personali a cui possono accedere e le modalità in cui lo fanno. Una definizione più chiara di ciò che è considerato “necessario e proporzionato” contribuisce a definire i limiti dell'accesso ai dati da parte di enti governativi e gli interessati hanno accesso a un meccanismo di ricorso a più livelli in caso di non conformità, un aspetto che è stato al centro della decisione della Corte di giustizia dell'Unione europea di invalidare lo scudo UE-USA per la privacy.

Nell'ottobre 2022, il Presidente degli Stati Uniti Joe Biden ha emesso un ordine esecutivo che rafforza le garanzie per le attività di intelligence dei segnali. A dicembre, la Commissione europea ha adottato la bozza di decisione di adeguatezza, avviando il processo formale di adozione nell'UE. Man mano che il quadro si è fatto strada tra le varie parti coinvolte nel processo, è stato oggetto di critiche di vario tipo. A febbraio 2023, il Comitato europeo per la protezione dei dati ha espresso il proprio parere accogliendo i miglioramenti apportati dal nuovo quadro normativo. Tuttavia, il Comitato ha chiesto alla Commissione europea di esaminare diverse aree del nuovo quadro normativo, compresi i diritti dei degli interessati e i trasferimenti successivi. Inoltre, il Parlamento europeo ha adottato una risoluzione in cui ha dichiarato che il quadro è un miglioramento, ma non è sufficiente a giustificare una decisione di adeguatezza sui trasferimenti di dati personali.

Negli Stati Uniti, il segretario al Commercio ha rilasciato una dichiarazione in cui afferma che gli Stati Uniti hanno rispettato gli impegni assunti per l'attuazione del quadro EU-USA per la protezione dei dati personali, il che consente all'UE di finalizzare l'accordo. 

A seguito di questa dichiarazione, il 4 luglio 2023 il Comitato di comitatologia della Commissione europea ha presentato un voto scritto sulla bozza di decisione di adeguatezza rivista. L'approvazione del Comitato è un requisito essenziale per l'adozione della decisione di adeguatezza da parte della Commissione. 

Infine, il 10 luglio 2023, la Commissione europea ha annunciato di aver adottato la decisione di adeguatezza al quadro EU-USA per la protezione dei dati personali. La decisione ha ripristinato un importante meccanismo di trasferimento dei dati tra l'Unione europea e gli Stati Uniti e ha introdotto restrizioni all'accesso delle autorità di sorveglianza statunitensi ai dati personali dell'UE e un meccanismo di ricorso individuale. Le reazioni iniziali alla decisione sono state contrastanti: da una parte l'Unione e gli Stati Uniti hanno accolto con favore l'impatto del quadro sul commercio, mentre dall'altra il gruppo NOYB ha sostenuto che il quadro sarebbe tornato davanti alla Corte di giustizia dell'Unione europea entro la fine dell'anno. In risposta, Didier Reynders, il Commissario europeo per la giustizia, ha raccomandato di aspettare di vedere l'efficacia del quadro nella pratica prima di tentare di portarlo in tribunale.  

Il quadro è entrato in vigore l'11 luglio 2023 e le organizzazioni partecipanti sono tenute ad aderire ai principi sulla privacy previsti dal quadro UE-USA per la protezione dei dati personali, compreso l'obbligo di autocertificazione tramite il Dipartimento del Commercio degli Stati Uniti.