Data Privacy Frameworks, Soluzione o flop?

La decisione di adeguatezza determina una base giuridica certa per il trasferimento dei dati personali dall’UE alle società statunitensi che partecipano al Data Privacy Framework, senza avere l’obbligo di predisporre ulteriori garanzie per la protezione dei dati.

Alla base di questa decisione le nuove garanzie vincolanti inserite nel Data Privacy Framework atte a rispondere ai rilievi della Corte di Giustizia Europea tra cui, la limitazione dell’accesso ai dati dell’UE da parte dei servizi di intelligence statunitensi. Questi ultimi non potranno più accedere in modo indiscriminato ai dati dei cittadini europei, ma limitarsi a quanto strettamente necessario ed indispensabile, operando secondo un criterio di proporzionalità in ottica di preservare i legittimi interessi di sicurezza nazionale.

Ad ulteriore tutela dei cittadini è stato previsto un meccanismo di ricorso a due livelli.

Il primo livello è costituito da un funzionario per la protezione delle libertà civili (Civil Liberties Protection Officer, CLPO), proveniente dall’intelligence americana, che ha il compito di indagare in modo obiettivo sui reclami presentati dai cittadini europei riportando i risultati alle autorità di protezione dei paesi da cui è partita la segnalazione. Reclami che verranno trasmessi dal Comitato Europeo per la protezione dei dati agli Stati Uniti.

Il secondo livello prevede l’intervento del Tribunale del riesame della protezione dei dati (Data Protection Review Court, DPRC) organo indipendente e vincolante. Ha il compito di esaminare i reclami fatti contro le decisioni prese dal CLPO. Nessun membro del DPCR opera sotto l’influenza delle istituzioni del governo statunitense.

Per garantire la continua conformità, il Data Privacy Framework sarà soggetto a revisioni periodiche. La prima è prevista entro l’anno per valutare e monitorare il comportamento delle aziende negli Stati Uniti.

COSA SUCCEDE ADESSO?

Semplice, dovremo attendere che le società americane aderiscano al nuovo Data Privacy Framework rispettando una serie di obblighi in materia di privacy. In primo luogo, avranno l’obbligo di cancellare i dati personali quando non necessari per lo scopo per cui sono stati raccolti e di garantire la protezione quando i dati sono condivisi con terzi.
Da segnalare che le garanzie si applicheranno anche a ‘’clausole contrattuali standard’’ e ‘’norme aziendali vincolanti’’.

L’ADEGUATEZZA AVRA’ VITA BREVE?

Molte sono le perplessità che gli Stati Uniti siano in grado di garantire questi standard di protezione. Facciamo un passo indietro. Solo due mesi fa il Parlamento Europeo aveva dichiarato insufficienti le misure di protezione presentate in commissione dagli Sati Uniti invitando la Commissione Europea a riprendere il dialogo. EDPB ha altresì evidenziato quanto sia di vitale importanza controllare e monitorare il meccanismo di ricorso e l’interpretazione dei principi di necessitò e proporzionalità.

Max Schrems ha già dichiarato di aver pronto un nuovo ricorso alla CGUE dichiarando che di fatto questa decisione non cambia nulla rispetto alle precedenti.

Tutto ciò solleva forti dubbi sulla durata di questo accordo gestito sicuramente in modo affrettato ed inaspettato dalla Commissione Europea e potrebbe essere impugnato e nuovamente invalidato dalla Corte di Giustizia.