In data 7 ottobre 2022, il Presidente degli Stati Uniti d’America Joe Biden ha firmato l’ordine esecutivo riportante le misure che gli Stati Uniti adotteranno per attuare gli impegni assunti nell’ambito dell’European Union-U.S. Data Privacy Framework (“DPF”), annunciato dal medesimo Presidente Biden e dalla Presidente della Commissione europea Von der Leyen il 25 marzo 2022.
Come noto, gli accordi bilaterali tra UE e USA sottoscritti in passato (“Safe Harbour” prima, “Privacy Shield” poi) sono stati sistematicamente invalidati dalla Corte di Giustizia dell’Unione Europea.
Di recente, inoltre, a causa della ritenuta inadeguatezza dell’ordinamento statunitense, anche l’Autorità Garante per la protezione dei dati personali italiana – come altre authorities europee – ha precisato che il trasferimento di dati effettuato da Google verso gli USA è da ritenersi illecito (il tema è approfondito nel nostro precedente contributo del 25 giugno 2022).
Il citato Executive Order, dunque, propone di rafforzare la tutela della privacy in ordine alle attività di intelligence degli Stati Uniti attuando le seguenti contromisure:
- Limitare l’accesso da parte dell’Intelligence statunitense ai dati. L’accesso sarà consentitosolo per perseguire obiettivi prioritari di “National security”, tenendo conto della privacy e delle libertà civili di tutte le persone, a prescindere dalla nazionalità o dal Paese di residenza, nella misura e con modalità proporzionate a tale priorità.
- Creare un meccanismo a più livelli che consenta agli interessati di ottenere una revisione ed un risarcimento per i casi in cui gli stessi ritengano che i loro dati siano stati raccolti dall’Intelligence statunitense in violazione delle leggi applicabili.
Un primo commento all’ordine esecutivo è già giunto a nome di N.O.Y.B., l’associazione il cui reclamo ha determinato la Corte di Giustizia UE ad invalidare il Privacy Shield. Ad avviso dell’associazione, il meccanismo proposto non garantirebbe un vero limite alla sorveglianza di massa sui dati secondo i criteri previsti dalla regolamentazione europea.
È opportuno ricordare che il documento firmato dal Presidente Biden non ha la forza di modificare alcuna norma; anzi, lo stesso dovrà essere approfonditamente vagliato prima di ottenere efficacia vincolante.
Competerà alla Commissione europea, infatti, analizzare l’Executive Order e valutare la sussistenza di sufficienti garanzie per siglare un nuovo accordo di adeguatezza con cui garantire giuridicamente un trasferimento transfrontaliero di dati.
Ad oggi, in concreto, non cambia nulla: l’ordinamento statunitense rimane tra quelli che non godono di una decisione di adeguatezza. Il trasferimento di dati verso gli USA richiede quindi una differente “garanzia” ex art. 46, GDPR. Ciò vale anche per i Google Analytics e tutte le piattaforme di servizi cloud che comportano trasferimento di dati verso Paesi terzi.
Torna alle news