Trasferimento di dati personali tra UE e USA: ultimi aggiornamenti
Come già illustrato nel nostro precedente articolo, Google analytics: il monito del Garante Privacy, a seguito dell’interruzione della validità del c.d. “Privacy Shield” per il trasferimento di dati personali tra UE e USA, sancita dalla Corte di giustizia dell’UE il 16 luglio 2020 (c.d. sentenza “Schrems II”), il 25 Marzo scorso la Presidente della Commissione Europea Ursula Von Der Leyen ha dichiarato l’intento di concludere l’iter di un nuovo e diverso accordo tra UE e Stati Uniti entro e non oltre la fine del corrente anno 2022.
In tale direzione si riflette quindi l’Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities, firmato dal Presidente Biden lo scorso 7 ottobre 2022, con il quale si illustrano le misure che gli Stati Uniti adotteranno per attuare gli impegni assunti nell’ambito del privacy framework definito con l’Unione Europea.
Tra i macro-punti definiti dal programma statunitense:
- si impone che le attività di intelligence siano condotte solo per perseguire obiettivi definiti di sicurezza nazionale;
- si estende le responsabilità dei funzionari legali, di supervisione e di conformità per garantire che vengano intraprese azioni appropriate per rimediare agli incidenti di non conformità;
- si richiede alle Agenzie di Intelligence di aggiornare le loro politiche e procedure al fine di allinearsi con le indicazioni dell’Executive Order;
- viene creato un meccanismo a più livelli per i soggetti interessati al fine di ottenere decisioni indipendenti e vincolanti, in caso di reclami nei confronti di trattamenti di dati personali in violazione della legge statunitense applicabile, comprese le indicazioni dell’Executive Order;
- si invita il Privacy and Civil Liberties Oversight Board a rivedere le politiche e le procedure dell’Intelligence Community per garantire che siano coerenti con l’Executive Order e a condurre una revisione annuale del processo di ricorso.
È chiaro come questo sia solo il primo passo verso un progressivo chiarimento del vulnus normativo attuale, all’interno del quale si sono inserite anche azioni di attivismo digitale nei confronti di numerosi titolari del trattamento, nei confronti delle quali è stata inviata una formale segnalazione al Garante da parte di uno Studio Legale, affiancato da un considerevole e rinomato gruppo di esperti del settore.
All’Autorità Garante è stato sostanzialmente richiesto un intervento chiarificatore e generalizzato, al fine anche di prevenire il rischio che della sentenza “Schrems II” venga data un’interpretazione arbitrariamente estensiva, dagli esiti impropri e distorsivi, tenendo inoltre conto dell’effettivo e attuale contesto economico e operativo di riferimento.
Alla luce anche della pubblicazione dell’Executive Order, risulta conseguentemente auspicabile e atteso estendere tale invito anche alle Autorità Europee.