Dopo una lunga attesa che ha creato non pochi dubbi nel trasferimento dei dati personali verso gli USA dovuti all’invalidazione del Privacy Shieldt da parte della Commissione Europea, a seguito della sentenza Scherms II pronunciata dalla Corte di Giustizia Europea, il 10 luglio 2023, è stato finalmente approvato il Data Privacy Framework, inizialmente bocciato dai Garanti Europei.
Con tale provvedimento, la Commissione Europea detta, dunque, la sua nuova decisione di adeguatezza, in base alla quale e nel rispetto del Regolamento n. 679/2016, gli Stati Uniti sono considerati un Paese che assicura un livello di protezione adeguato ai dati dei cittadini europei trasferiti sul territorio americano, in quanto in grado di fornire garanzie sufficienti alla protezione dei dati ivi trasferiti, tali da limitare l’ingerenza del Governo e delle agenzie di intelligence.
Nonostante la notizia dell’approvazione del testo da parte di Bruxelles sia ufficiale, ci sono ancora alcuni scogli da superare, prima che le nuove regole sul trasferimento dei dati verso gli USA diventino davvero operative.
Il primo riguarda lo EDPB che deve nuovamente pronunciarsi sull’ultima versione del testo del Framework che disciplinerà il trasferimento dei dati dall’Unione Europea agli Stati Uniti e ci auguriamo che sia la volta buona, non fosse altro per consentire a tutti gli operatori e alle imprese che si interfacciano con tale Pese e ivi si trovano a dover trasmette quotidianamente informazioni di cittadini europei, una maggiore certezza giuridica.
Il testo iniziale del Framework UE-USA era stato scartato dallo EDPB che, lo si rammenta, costituisce l’organismo che rappresenta i garanti dell’Unione Europea, in quanto il gruppo aveva avanzato valutazioni negative per assenza di chiarezza riferita ai criteri di “necessità” e “proporzionalità” in base ai quali le autorità americane si arrogavano il diritto di accedere ai dati personali di chiunque (quindi cittadini americani e cittadini europei), potesse essere ritenuto una minaccia contro la sicurezza nazionale.
Altre critiche erano state espresse dal Parlamento europeo, nello specifico dalla Commissione per le libertà civili, la quale non individuava nel testo del Framework garanzie sufficienti, in particolare per quanto concerne la data retention, ossia i limiti di conservazione dei dati trasferiti verso gli USA.
In verità, leggendo il Framerwork, non si direbbe si discosti poi tanto dal vecchio Privacy Shieldt, già a suo tempo invalidato dalla CGUE, infatti la nuova versione della decisione di adeguatezza, ripercorre, a grandi linee, i tratti della vecchia e forse anche per questo l’avvocato Schrems ha già annunciato che presenterà una terza causa davanti alla Corte Europea, domandando nel frattempo la sospensione nell’applicazione dell’accordo.
Questa azione però di certo non gioverà agli operatori, agli enti e alle imprese che si interfacciano quotidianamente con fornitori americani, in quanto, se oggi potevano tirare un sospiro di sollievo per avere finalmente un quadro regolamentare più chiaro sul trasferimento dei dati personali verso gli Stati Uniti, una nuova sospensione non farà altro che aprire le porte ad ulteriori punti oscuri, con gravi ripercussioni sui soggetti giuridici, i quali, non avendo a disposizione linee guida certe su cui basarsi per procedere in maniera corretta, dovranno ancor una volta adottare decisioni caratterizzate da opinabilità di vedute, assumendosi i rischi di scelte soggettive, con un aggravio di responsabilità nel caso in cui, a seguito di attività ispettiva, le misure supplementari adottate non dovessero essere ritenute sufficienti a garantire protezione ai dati trasferiti.