Il 10 luglio scorso la Commissione Europea ha adottato la decisione di adeguatezza sul Framework UE-USA in tema di protezione dei dati personali, mettendo fine (forse) alla questione sorta in merito al trasferimento dei dati personali dall’Europa agli Stati Uniti.

Vale la pena riepilogare sinteticamente la questione.

L’articolo 45, paragrafo 3, del Regolamento generale sulla protezione dei dati (2016/679 c.d. GDPR) conferisce alla Commissione Europea il potere di decidere se un Paese terzo non dell’Unione Europea, garantisce “un livello di protezione adeguato”, ossia un livello di protezione dei dati personali che è sostanzialmente equivalente al livello di protezione nell’UE. Per effetto di tale decisione di adeguatezza i dati personali possono essere trasmessi liberamente dall’UE verso un paese terzo senza ulteriori ostacoli.

Nell’agosto del 2016 era entrato in vigore il Privacy Shield, in base al quale le società stabilite negli USA che intendano ricevere dati personali dall’Unione europea, potevano autocertificare il loro impegno a rispettare i principi in esso contenuti e a fornire agli interessati, ossia alle persone fisiche a cui si riferiscono i dati personali, adeguati strumenti di tutela, pena l’eliminazione dalla lista delle società certificate (“Privacy Shield List”), gestito dal Dipartimento del Commercio statunitense.

La Commissione europea ha ritenuto che il sistema offrisse un livello adeguato di protezione per i dati personali e, pertanto, ha adottato la decisione di adeguatezza sul Privacy Shield, consentendo il trattamento dei dati personali da parte delle società statunitensi inserite nella lista del Privacy Shield.

Successivamente, a seguito del ricorso presentato dall’attivista austriaco Max Schrems, la Corte di Giustizia UE ha dichiarato invalida la decisione sull’adeguatezza del Privacy Shield (sentenza Schrems II), in quanto la Corte ha ritenuto che i programmi che consentono alle autorità pubbliche degli Stati Uniti di accedere ai dati personali ai fini della sicurezza nazionale, comportino limitazioni alla protezione dei dati personali e non si configurano, pertanto, i livelli di protezione sostanzialmente equivalenti a quelli previsti dal diritto dell’UE (p.es. la legislazione USA non prevedeva la possibilità per gli interessati di ricorrere in sede giudiziaria nei confronti delle autorità statunitensi.

In conseguenza della pronuncia della Corte di giustizia dell’UE (CGUE), la Commissione Europea aveva invalidato la precedente decisione di adeguatezza sullo scudo UE-USA per la privacy (Privacy Shield), rendendo di fatto non più conforme al Regolamento UE sulla protezione dei dati il trasferimento dei dati personali di cittadini europei verso società statunitensi.
Questa decisione ha creato un vuoto normativo e ha anche messo in crisi i rapporti con i colossi statunitensi che forniscono su scala mondale i servizi IT, basti pensare alle email e ai servizi cloud di Microsoft e Google.

Per esempio, hanno fatto “rumore” le decisioni di molte Autorità nazionali garanti della privacy, compreso quella italiana, contro l’utilizzo di Google Analytics per monitorare le statistiche e la performance dei siti web.

Per cercare di porre fine a tale querelle, la Commissione europea e il governo degli Stati Uniti hanno avviato un dialogo politico che, come anticipato all’inizio, ha portato alla stesura del Data Privacy Framework.

Il Data Privacy Framework introduce nuove garanzie vincolanti, tra cui la limitazione dell’accesso ai dati dell’UE da parte dei servizi di intelligence statunitensi, ammesso per proteggere la sicurezza nazionale, e l’istituzione di un tribunale del riesame in materia di protezione dei dati (Data Protection Review Court, DPRC), accessibile ai cittadini dell’UE e che potrà anche ordinare la cancellazione dei dati qualora siano stati raccolti in violazione delle nuove garanzie.

Inoltre, nel Framework sono stabiliti alcuni principi fondamentali ed obblighi per le imprese, fra cui l’obbligo di cancellare i dati personali quando questi non sono più necessari per lo scopo per il quale sono stati raccolti e di garantire la continuità della protezione quando i dati personali sono condivisi con terzi.

La Commissione Europea, come detto, ha adottato il 10 luglio scorso la decisione di adeguatezza sul Framework UE-USA, in questo modo legittimando il trasferimento e trattamento dei dati personali dei cittadini europei da parte delle società statunitensi che aderiranno al suddetto Framework.

Inoltre, il funzionamento e l’efficacia del Data Privacy Framework sarà oggetto di riesami periodici da parte della Commissione europea in collaborazione con i rappresentanti delle autorità europee di protezione dei dati e delle autorità statunitensi competenti (il primo riesame è previsto entro un anno).

Ad ogni modo, è ancora presto per dichiarare definitivamente risolta la questione in quanto già è stato preannunciato ricorso contro la decisione della Commissione Europea da parte dell’’organizzazione per la privacy NOYB, guidata da Max Schrems.

Nel frattempo, alla luce della decisione di adeguatezza del framework, sarà necessario valutare la necessità di rimettere mano alle informative privacy e al registro dei trattamenti per il relativo aggiornamento.