Il settore tecnologico europeo dipende in gran parte da servizi di aziende statunitensi. Nonostante il forte impegno dell’UE sulla sovranità digitale degli ultimi anni, questa è oggi la realtà dei fatti. Ciò non condiziona, però, il suo parere sul quadro normativo che dovrebbe regolare il flusso di dati tra USA e Unione Europea. Il Data Privacy Framework (DPF) non sarà approvato, finché non saranno garantiti ai cittadini europei la privacy e i diritti già idealmente definiti dal GDPR.
Sorveglianza di massa e ricorsi: i due punti deboli del DPF
A storcere il naso, stavolta, è il Parlamento Europeo. La “sua” Commissione per le libertà civili, la giustizia e gli affari interni del Parlamento europeo (LIBE) non è ancora soddisfatta. Ha esaminato la proposta di norme transfrontaliere sui dati “aggiustata” dal governo Biden e non l’ha trovata adeguata. Nella sua bozza di parere non vincolante, afferma con chiarezza che l’ultima versione del Data Privacy Framework è ancora molto lontano dagli standard del GDPR.
Sembra che solo delle riforme significative potranno far cambiare idea alla commissione. Secondo la LIBE, a mancare sarebbero delle solide garanzie di sorveglianza governativa. Anche i meccanismi di ricorso non sarebbero così fluidi e accessibili come dovrebbero.
Per poter parlare di equivalenza nel livello di protezione per i dati trasferiti dei residenti dell’UE, due sono le questioni importanti da sciogliere. Per prima cosa, il documento presentato da Biden non accenna ad alcuno stop della raccolta di dati in massa da parte dell’intelligence USA, senza eccezioni per il contenuto delle comunicazioni. L’elenco degli obiettivi legittimi di sicurezza nazionale, inoltre, resta modificabile a sua discrezione, senza alcun obbligo di comunicazione di eventuali aggiornamenti. Gli USA non hanno (ancora) ceduto su questi punti, temono conflitti con le legislazioni e le pressioni interne.
Il nodo del ricorso
A non convincere la LIBE è anche il meccanismo di ricorso, uno nuovo diritto per gli europei. Sulla carta può apparire un grande passo avanti, probabilmente dal punto di vista simbolico lo è, ma approfondendolo si scopre la sua attuale fragilità. Ufficialmente, il DPF dà la possibilità a tutti i cittadini europei di presentare reclami al Tribunale per la revisione della protezione dei dati (DPRC), se ritengono che i loro dati personali siano stati raccolti in violazione della legge statunitense applicabile. Non è tutto così trasparente e semplice come sperato. La procedura di ricorso prevista, infatti, oggi si basa sulla segretezza. Ciò significa che non si ha l’obbligo di notificare al reclamante che i suoi dati personali sono stati trattati: un modo per ostacolare il suo diritto di accesso o di rettifica dei dati.
Secondo la Commissione, non c’è rispetto neanche degli standard di imparzialità o di indipendenza previsti dalla Carta dei diritti fondamentali dell’UE. Per esempio, per l’avvocato “speciale” che rappresenterebbe il ricorrente, designato dal DPRC, non viene imposto alcun requisito di indipendenza.
Anche dopo aver lavorato su questi punti, ammesso che abbia intenzione di farlo, il governo degli Stati Uniti dovrebbe risolvere una questione ancora più macroscopica: manca ancora una legge federale sulla protezione dei dati.
Appuntamento a Luglio 2023, perplessità europee permettendo
Il verdetto di adeguatezza, da parte dell’UE, sembra inarrivabile per le imprese che lo attendono “dati alla mano”. Con il “no” non vincolante della commissione parlamentare, il timore è che le scadenze slittino ulteriormente. Al momento la decisione definitiva su Data Privacy Framework è attesa per luglio 2023. Se il testo sarà adottato, le aziende europee potranno trasferire dati personali a “società negli Stati Uniti, senza dover adottare ulteriori misure di protezione dei dati”. Oggi non è così: l’attuale meccanismo di trasferimento dati più utilizzato si basa sulle clausole contrattuali standard (SCC).
La Commissione Europea le ha adottate per facilitare questo passaggio, “alla luce dei requisiti stabiliti dalla Corte di giustizia nella sentenza Schrems II“. Le aziende sono costrette a ricorrervi, da quando il Privacy Shield è stato bocciato. La loro implementazione richiede tempo e non garantiscono nulla a priori, al momento però, sono l’unico strumento a disposizione per assicurarsi la business continuity.
Tutto ciò spiega la loro fremente attesa del DPF. È già quasi passato un anno da quando è stato annunciato (marzo 2022), anche per rispondere alle preoccupazioni sollevate dalla Corte di giustizia dell’UE nel caso Schrems II.
In ottobre, c’era stata poi la notizia di un ulteriore accordo tra la presidente dell’UE Ursula Von Der Leyen e il presidente degli Stati Uniti Joe Biden, seguita dalla firma di un ordine esecutivo, da parte di quest’ultimo. Ora non si ha che da attendere luglio, data valida solo se il documento non incontrerà ulteriori intoppi o perplessità all’interno dell’Unione. Anche i pareri denominati ufficialmente “non vincolanti”, infatti, potrebbero comunque avere un certo peso.
