Lo scorso 7 ottobre il Presidente americano Joe Biden ha firmato un ordine esecutivo per attuare un quadro di trasferimento e gestione dei dati tra Unione europea-Stati Uniti.
L’intervento si inserisce fra i tentativi di offrire una soluzione al gigantesco problema aperto da “Schrems II”.
Ci chiarisce i contorni della vicenda l'avv. Paolo Marini.
** * **
Nello Spazio Economico Europeo (SEE), costituito dai 27 Paesi dell'Unione Europea e da Norvegia, Islanda e Liechtenstein (Stati aderenti all'EFTA, Associazione europea di libero scambio), i trattamenti dei dati personali soggiacciono alle norme del Regolamento UE 2016/679 (GDPR). Oltre questo recinto (e fatti salvi i luoghi extra-UE/SEE che in base al diritto internazionale pubblico sono soggetti al diritto degli Stati membri, come ad esempio le rappresentanze diplomatico-consolari), il trasferimento di dati personali da titolari/responsabili intranei verso titolari/responsabili stabiliti in Paesi extra UE/SEE (che si definiscono “paesi terzi”) è soggetto alle disposizioni del Capo V del GDPR.
Il trasferimento dei dati è operazione non presidiata da specifiche condizionalità giuridiche quando il paese terzo (o un territorio o uno o più settori specifici all'interno nel quale i dati debbono essere esportati) sia stato dichiarato “adeguato” dalla Commissione UE (ad esempio, sono paesi terzi adeguati la Svizzera, il Canada, il Giappone).
Come noto, dal 16 luglio 2020 con la pronuncia della sentenza della Corte di Giustizia dell'Unione Europea (CGUE), denominata “Schrems II”, che ha invalidato il “Privacy Shield” (Scudo Privacy), l'ampio, gigantesco fenomeno del trasferimento dei dati verso determinati titolari/responsabili (essenzialmente imprese, escluse quelle di particolari settori) stabiliti negli Stati Uniti è diventato all'improvviso un grande problema, anzi una autentica voragine.
L'ordinamento giuridico USA si è una volta di più (dopo la precedente invalidazione del “Safe Harbor”) 'rivelato' inadeguato rispetto ai requisiti UE attinenti alla sfera di protezione dei diritti e delle libertà individuali delle persone.
I principali problemi sollevati dalla pronuncia/scure del 2020 della CGUE sono stati due:
a) il primato delle esigenze di sicurezza nazionale, interesse pubblico e amministrazione della giustizia, tale da consentire illimitate ingerenze del governo nei diritti fondamentali delle persone fisiche i cui dati erano trasferiti alle imprese USA;
b) il difetto di garanzie di indipendenza, rispetto al Dipartimento di Stato USA, della figura del Mediatore dello “Scudo Privacy”, in contrasto con l’articolo 47 della Carta dei Diritti Fondamentali dell'Unione Europea.
Tenuto conto che sono stabiliti in USA i colossi multinazionali dell'ICT Society, da oltre due anni il dibattito sulle difficoltà (e, talora, l'effettiva impossibilità giuridica) di trasferimenti di dati 'compliant' ha tenuto banco senza poter aspirare a soluzioni piene, tempestive e definitive e, con ciò, milioni di soggetti hanno, di fatto, continuato ad operare come se nulla fosse accaduto, affrontando (più o meno consapevolmente) i rischi di sanzioni da parte delle autorità di controllo, oltre che – beninteso - quelli di perdita di controllo dei dati.
Dal 7 ottobre scorso si è aperto uno spiraglio con la firma da parte del Presidente USA di un ordine esecutivo, frutto di un lavoro/trattativa 'a quattro mani' tra funzionari di quel governo e della Commissione UE, che ha inteso ovviare alle crepe dell'ordinamento giuridico statunitense 'denunziate' dalla CGUE. L'ordine prevede una limitazione del potere di accesso delle agenzie governative ai dati personali in quanto ispirata ai criteri della necessità e della proporzionalità, e la istituzione di una corte - di un giudice, dunque - cui possano presentare ricorso gli interessati che ritengano violati i loro diritti in materia di protezione dei dati personali.
Il dibattito sulla idoneità dell'Executive Order a precedere una soluzione duratura del problema si è sviluppato da subito, con il confronto di punti di vista anche opposti.
In attesa di una analisi più fredda, ponderata del provvedimento, è certo che esso sia destinato ad essere immediatamente implementato dall'amministrazione interessata ed attuato nei suoi steps nel giro di alcuni mesi.
Parimenti esso non può/potrà essere confuso con la decisione di adeguatezza che, sulla base di una valutazione complessiva dell'ordinamento giuridico del Paese terzo, spetta solo ed esclusivamente alla Commissione UE (art. 45 GDPR).
Tutto questo porta a ritenere che siamo entrati in una fase di nuova, di diversa incertezza, in cui il trasferimento dei dati verso gli USA resta argomento critico, sì, ma in uno scenario mutato e con qualche speranza di (prossima) soluzione.