Il 7 ottobre 2022 il presidente Biden ha firmato un executive order (Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities – “EO”) riguardo alle nuove garanzie previste nell’ambito dell’accordo politico USA-UE per il trasferimento di dati personali e, in particolare, per gli eventuali accessi ai dati ad opera delle agenzie federali sulla sicurezza.
Privacy Shield
In precedenza, il programma Privacy Shield era stato oggetto di una decisione di adeguatezza da parte della Commissione UE; grazie a tale decisione, a partire dal 2016 i flussi di dati personali tra enti commerciali tra le due sponde dell’Atlantico potevano considerarsi liberi, in base all’articolo 45 del GDPR. Il programma prevedeva il rispetto di sette principi di protezione dei dati e l’annuale autocertificazione dell’impresa interessata, al Dipartimento del Commercio circa l’adesione a tali principi.
Conseguenze di Schrems II
La sentenza della CGUE sul caso Schrems II aveva invalidato il programma Privacy Shield ritenuto inidoneo ad offrire adeguate garanzie per i diritti e le libertà degli interessati europei, specie riguardo al potere indiscriminato di accesso ai dati ad opera delle autorità di contrasto e delle agenzie federali di sicurezza.
La decisione della Corte del luglio 2020 (C-311/18, Facebook Ireland e Schrems) ha come conseguenza quella di sottrarre un importante strumento di legittimità per i flussi trans-atlantici di dati personali e solleva la questione dell’individuazione di una soluzione giuridica alternativa che, tuttavia, non è di immediata realizzazione.
Nell’attesa dei tempi richiesti dallo svolgimento dei nuovi negoziati politici USA-UE per l’adozione di un accordo sostitutivo al Privacy Shield, i titolari esportatori di dati hanno dovuto fare uso di una delle ulteriori garanzie previste dagli articoli 46-47 del GDPR. La distinzione di effetti giuridici tra la decisione di adeguatezza della Commissione riguardo ad un determinato programma condiviso e l’adozione di una delle richiamate garanzie di cui agli articoli 46-47 del GDPR è di rilievo: nel primo caso, i flussi di dati sono legittimi nei riguardi di tutti coloro che aderiscono al programma; mentre nel caso delle garanzie citate, sono legittimi solo i flussi che interessano i sottoscrittori di specifici accordi contrattuali (es. SCC o BCR) o che si trovano in una delle ulteriori condizioni previste dall’art. 46 (aderenti a codici di condotta o a meccanismi di certificazione ed altro).
Valutazione di impatto sui trasferimenti
Ulteriore conseguenza della decisione della CGUE sul caso Schrems II è l’aver imposto a titolari e responsabili del trattamento, esportatori di dati, di assoggettare il trasferimento ad una valutazione preliminare (cosiddetta “TIA” – Transfer Impact Assessment) avente ad oggetto:
- La verifica che il diritto americano sia in conformità alle garanzie essenziali europee, cioè:
– Preveda leggi chiare, precise e accessibili
– Assicuri che il trattamento sia necessario e proporzionato riguardo ai legittimi obiettivi perseguiti
– Includa un meccanismo di ricorso
– Comprenda mezzi effettivi di rimedio per gli interessati
- La valutazione se la prassi adottata dalle agenzie governative statunitensi mini la legge di quel paese.
Qualora questa valutazione giunga alla conclusione che legge o prassi americana non sono in grado di proteggere i diritti fondamentali degli interessati, i soggetti esportatori dovrebbero individuare e applicare misure supplementari che possono includere salvaguardie tecniche, contrattuali o operative, in modo da compensare queste lacune.
Continua…