Il 2 Giugno 2022 il servizio di ricerca del Congresso degli Stati Uniti (“CRS”) ha pubblicato un documento sul prossimo quadro UE-USA per la privacy dei dati transatlantici (“Trans-Atlantic Data Privacy Framework TADPF”)
Come avevamo già scritto in un precedente articolo, a marzo 2022 è stato annunciato un “accordo di principio” tra la Casa Bianca e la Commissione Europea per formulare un trattato che possa essere conforme alle disposizioni del Regolamento Europeo per la protezione dei dati personali in ambito di trasferimento dei dati dall’UE agli USA, dopo la cassazione del precedente accordo denominato Privacy Shield a seguito delle sentenze Shrems della Corte di Giustizia Europea a luglio 2020.
L’invalidazione dell’accordo, così come del precedente (il Safe Harbor), è dovuto soprattutto alle leggi statunitensi che lasciano ampio potere alle agenzie di intelligence di accedere alle banche dati in mano alle aziende USA, anche di dati personali di cittadini UE, anche laddove le stesse banche dati sono dislocate su territori extra USA, e alla mancanza di meccanismi per i ricorsi di opposizione dei cittadini europei, in caso di trattamento illecito di tali dati.
Questo ha portato ad un vuoto, ed un caos, legislativo in cui le uniche vie percorribili, per ora, in modo estremamente limitato, sono l’utilizzo delle clausole contrattuali standard (SCC) o di regole aziendali vincolanti (BCR), che però non hanno mai soddisfatto la richiesta di livello di protezione dall’invasione delle agenzie di intelligence. O, drasticamente, chiudere le transazioni commerciali che comportino il trasferimento di dati.
Tant’è che, da circa un anno a questa parte, hanno iniziato a piovere sentenze dei vari Garanti europei contro aziende che operavano trasferimento di dati UE verso USA, soprattutto se in maniera massiva, con l’obbligo di blocco di tali trasferimenti, mettendo in crisi moltissime di queste che non avevano più mezzi per poter operare, se non con un consenso specifico dell’utente al trasferimento verso gli USA.
È stato il caso di tutte quelle società, istituti o enti che non solo archiviavano i dati in loro possesso in farm che hanno sede legale in USA, ma anche di quelle che si affidavano, per esempio, a fornitori di servizi di CRM (software di gestione dei clienti) o di analisi statistiche, di profilazione e marketing (un esempio su tutti, Google Analytics) con sede extra UE, in quanto anche avendo banche dati in territorio comunitario, rimangono in ogni caso soggetti al Cloud Act e alle varie leggi presidenziali statunitensi.
Sotto queste forti pressioni i negoziatori statunitensi e la Commissione europea stanno quindi cercando un nuovo accordo che permetta di poter riattivare il flusso transfrontaliero dei dati rispettando la privacy e la protezione dei dati personali, considerati, dall’UE, diritti fondamentali dei propri cittadini, e il servizio di ricerca del Congresso degli Stati Uniti (“CRS”) ha pubblicato un documento sul prossimo quadro UE-USA per la privacy dei dati transatlantici (“TADPF”).
Tra le disposizioni chiave del nuovo accordo che si sta cercando di raggiungere vi sono “sette distinti principi sulla privacy che includono l’avviso, la scelta, la responsabilità per il successivo trasferimento dei dati, la sicurezza, l’integrità dei dati e la loro limitazione delle finalità, l’accesso, il ricorso, esecuzione e responsabilità. Il Privacy Shield ha inoltre stabilito 16 principi supplementari obbligatori che includevano disposizioni sui dati sensibili, la responsabilità secondaria, il ruolo delle autorità per la protezione dei dati (DPA), i dati sulle risorse umane, i prodotti farmaceutici e medici e i dati pubblicamente disponibili.”
In particolar modo, devono essere riviste determinate opzioni per i flussi di dati transatlantici che includono
- creare regole aziendali vincolanti (BCR) che le autorità UE devono approvare azienda per azienda
- Attuare SCC aggiornate e approvate dall’UE, rivalutando le garanzie adeguate secondo le sentenze emesse dalla CGUE (Corte di Giustizia dell’Unione Europea)
- fornirsi di servizi di cloud commerciali erogati da grandi aziende tecnologiche che utilizzano BCR approvate o SCC aggiornate
- memorizzare ed elaborare i dati personali dei cittadini UE solo su territorio comunitario (o altro paese approvato)
- ottenere il consenso delle persone per ogni singolo trasferimento di dati personali (opzione logisticamente ed economicamente impegnativa per la maggior parte delle aziende).
Si potrebbero inoltre stabilire dei codici di condotta, o delle certificazioni, che soddisfino il livello di protezione richiesto dal GDPR, per le quali le aziende, organizzazioni ecc (sia specificatamente Usa che a livello più ampio globale) possano fare domanda.
Oltre questi principi generali, “per rispondere alle preoccupazioni dell’UE sulle pratiche di sorveglianza degli Stati Uniti, il nuovo quadro deve aumentare le salvaguardie e i limiti alle attività di intelligence delle agenzie statunitensi, istituire un nuovo meccanismo di ricorso con autorità indipendente e vincolante (il tribunale di revisione della protezione dei dati) e aggiungere procedure di supervisione per le attività delle agenzie governative. I resoconti della stampa suggeriscono che una nuova unità del Dipartimento di giustizia degli Stati Uniti potrebbe supervisionare la sorveglianza sui diritti delle persone dell’UE”, ovvero, si dovrebbe trovare un accordo sul limite di invasione delle agenzie di intelligence americane sui dati dei cittadini europei, istituendo anche un tribunale sia per la sorveglianza su questi limiti, che per la tutela all’accesso e ricorso ai propri dati personali in caso di trattamento illecito.
Le parti, come abbiamo già detto, stanno lavorando su queste linee per il nuovo accordo, sperando che sia finalizzato ed adottato già entro la fine del 2022.
fonte: https://sgp.fas.org/crs/row/IF11613.pdf
Lascia un commento