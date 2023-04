Il 28 febbraio scorso, l’European Data Protection Board (EDPB) ha emesso il parere n. 5/2023 (Opinion) circa la decisione di adeguatezza per il “Data Privacy Framework” (DPF) che consente il legittimo trasferimento dei dati personali tra Unione Europea e USA.

Il Comitato ha espresso le proprie valutazioni sul livello di protezione offerto negli Stati Uniti, soffermandosi, sulla possibilità di accesso e uso alle/delle informazioni da parte delle autorità pubbliche statunitensi, manifestando, a grandi linee, le proprie preoccupazioni ed invitando la Commissione a valutare tutti gli aspetti e le criticità.

Le perplessità dell’EDPB

In prima battuta, il Comitato ha analizzato i possibili rischi connessi ai diritti dei soggetti interessati. Essi possono essere limitati solo ed esclusivamente per motivi di interesse pubblico, di sicurezza nazionale, per legge o per decisione giudiziaria. Con grande preoccupazione, l’EDPB ha sottolineato che la limitazione dei diritti degli interessati può concretizzarsi solo se ciò risulti strettamente necessario a tutelare diritti preminenti.

Le perplessità avanzate dal Comitato derivano dalla presenza, nella legislazione americana, di numerosi strumenti giuridici che tutelano la sicurezza nazionale, comprimendo i diritti degli interessati; si tratta dei “Foreign Intelligence Surveillance Act”, “Executive Order 12333” (“EO 12333”) ed “Executive Order 14086” (“EO 14086”). L’EDPB ha, quindi, ribadito che le garanzie prescritte da tali fonti normative debbano essere equivalenti a quelle stabilite dal quadro giuridico europeo, rimandando alla Commissione il controllo finale e raccomandandosi che la decisione di adeguatezza tenga in debita considerazione le prescrizioni normative interne al diritto statunitense ed il loro contemperamento con la protezione dei dati personali.

L’esercizio del diritto di accesso

Uno dei principali profili di criticità concerne proprio l’esercizio del diritto di accesso, soprattutto nelle ipotesi in cui le informazioni siano ottenute tramite fonti accessibili al pubblico, quindi anche agli organi di intelligence statunitensi. La normativa europea consente agli interessati di esercitare tale diritto in ogni momento ed in maniera agevole, pertanto la Commissione, a parere del Comitato, dovrebbe valutare attentamente i rischi derivanti da un accesso indiscriminato ai dati personali degli interessati. Il diritto di accesso, pur non qualificandosi come diritto assoluto, facilita l’esercizio di altri diritti, come il diritto alla cancellazione o il diritto di opposizione. Il Comitato, di conseguenza, ritiene necessario consentirne l’esercizio anche quando, ad esempio, il trattamento sia effettuato per finalità di marketing, raccomandando che la Commissione valuti il livello di specificità delle modalità con cui il diritto possa essere esercitato. L’EDPB sostiene che non possa essere considerato sufficiente un riferimento generico contenuto nell’informativa privacy: è fondamentale che l’interessato venga posto in condizioni concrete di esercitare tale diritto, in maniera agevole, in qualsiasi momento.

Il trattamento dei dati personali nel contesto dei rapporti di lavoro

L’Opinion del Comitato si sofferma, seppur brevemente, sul trattamento dei dati personali nel contesto dei rapporti di lavoro, focalizzando l’attenzione sulle finalità per cui i dati personali vengono trattati. Nel caso in cui, ad esempio, i dati siano raccolti dalla direzione “Risorse umane” di una società o di un’azienda e, successivamente, emerga l’esigenza del trattamento per scopi non legati all’occupazione lavorativa, sarà necessario procedere ad ulteriori e più precise valutazioni, specie con riferimento alla base giuridica da invocare, in quanto il consenso sarà raramente del tutto libero se prestato in un contesto lavorativo.

Il trasferimento successivo dei dati

Un ulteriore aspetto posto sotto la lente d’ingrandimento dell’EDPB riguarda il trasferimento successivo dei dati: il Comitato ribadisce che esso potrà essere consentito solo nel caso in cui anche il paese terzo sia soggetto a norme che garantiscano un livello adeguato di protezione. L’originario destinatario dei dati personali trasferiti dall’Unione Europea deve, infatti, garantire che siano fornite tutele appropriate per i trasferimenti successivi. Essi possono avvenire soltanto per finalità limitate e specifiche e in presenza di un’idonea base giuridica, come previsto dal Regolamento (UE) 2016/679 (“GDPR”), poiché l’eventuale trasferimento successivo non può intaccare il principio di continuità nella protezione dei dati personali degli interessati.

I processi decisionali automatizzati

Il Comitato si sofferma anche sulle decisioni basate interamente su processi decisionali automatizzati, compresa la profilazione. Se, in territorio europeo, l’assenza di regole proprie non inficia il livello di protezione dei dati personali raccolti, poiché, nella maggioranza dei casi, il titolare ha una relazione diretta con l’interessato ed è coperto dalle tutele stabilite dall’art. 22 del GDPR, nel DPF non sono previste garanzie specifiche per i soggetti sottoposti a tali decisioni. L’EDPB puntualizza, quindi, che la base giuridica invocabile è il consenso o il contratto e ricorda che il processo decisionale automatizzato potrebbe essere utilizzato anche da un titolare con sede negli USA. In questa maniera, il livello di protezione sembra modificarsi a seconda delle circostanze concrete in cui avvenga il trattamento. Il Comitato ritiene, di conseguenza, che siano necessarie norme specifiche che forniscano all’interessato determinate garanzie, tra cui il diritto di essere informato sulle ragioni a fondamento della decisione, il diritto di contestare la decisione qualora sia stata invocata una base giuridica errata e di ottenere la correzione delle informazioni inesatte. L’interessato deve, inoltre, poter richiedere l’intervento umano quando la decisione produca impatti significativi sulla propria sfera giuridica.

Il ruolo del nuovo Ordine Esecutivo 14086

L’EDPB si concentra sulla circostanza che l’entrata in vigore e l’adozione della decisione di adeguatezza da parte della Commissione siano condizionate all’implementazione dell’Ordine Esecutivo 14086, nuova fonte governativa statunitense che rafforza le garanzie per le attività svolte dall’intelligence americana e che riguarda la raccolta di informazioni mediante procedimenti di intercettazione e analisi di segnali di intelligence.

Necessità e proporzionalità nel trattamento delle informazioni

Vengono, così, introdotti i fondamentali concetti di necessità e proporzionalità nel trattamento delle informazioni, con la previsione di un meccanismo di ricorso individuale per i cittadini europei, significativamente migliorato rispetto a quanto previsto dall’ormai invalidato “Privacy Shield”, in seguito alla sentenza nella causa C-311/18 Data Protection Commissioner/Maximilian Schrems e Facebook Ireland, meglio nota come “Schrems II”. L’Ordine Esecutivo 14086 fornisce maggiori garanzie per l’indipendenza della “Data Protection Review Court” (“DPRC”), Tribunale per la revisione della protezione dei dati, istituito dal Regolamento del Procuratore Generale statunitense, quale organo deputato alla corretta applicazione delle misure a tutela delle informazioni personali. Peraltro, la costituzione del Tribunale ha acceso un aspro dibattito, in quanto esso è creato all’interno del Dipartimento di Giustizia statunitense. Si teme, quindi, che l’organo possa operare in maniera non indipendente e parziale.

I meccanismi di ricorso riconosciuti agli interessati

In merito ai meccanismi di ricorso riconosciuti agli interessati, l’EDPB approva le sette tipologie presenti nella Draft Decision, pur richiedendo delle ulteriori specificazioni in merito, quali maggiori dettagli sui requisiti previsti dalla legislazione americana citata o sul ruolo delle autorità dei singoli Stati membri e di quelle europee. Riguardo all’introduzione dei principi di necessità e proporzionalità, essi sono ricondotti al contesto delle operazioni di raccolta di informazioni tramite intercettazione e nell’esecuzione di attività di intelligence: raccolta e trattamento dei dati devono essere limitati a quanto necessario e proporzionato per il raggiungimento delle relative finalità. Il Comitato accoglie, quindi, positivamente il fatto che l’Ordine Esecutivo 14086 preveda dodici finalità per le quali i dati possano essere raccolti e cinque per le quali il trattamento dei dati non può essere effettuato.

Conservazione dei dati raccolti tramite le attività di intercettazione e sorveglianza

L’EDPB manifesta la propria preoccupazione anche in relazione alle regole sulla conservazione dei dati raccolti tramite le attività di intercettazione e sorveglianza. L’Ordine Esecutivo 12333, risalente al 1981, consente la raccolta massiva dei dati, senza la previsione di un’autorizzazione preventiva da parte di un’autorità indipendente, né di un riesame compiuto ex post. Sulla falsariga di quanto precedentemente statuito, il nuovo Ordine 14086 non indica un preciso periodo di conservazione di tali informazioni. Il Comitato, pertanto, invita la Commissione a valutare adeguatamente tale elemento, prima di procedere alla decisone di adeguatezza.

La diffusione ulteriore dei dati raccolti

L’ultimo – non certo per importanza – aspetto critico coinvolge la diffusione ulteriore dei dati raccolti. L’Ordine Esecutivo 14086 prevede che i dati dei cittadini non statunitensi possano essere nuovamente divulgati, se si ha contezza documentale che essi saranno protetti in modo adeguato. Tale previsione non vieta, però, espressamente una diffusione per scopi diversi da quelli di sicurezza nazionale; pertanto, il Comitato ha rimarcato il fatto che la protezione dei dati deve essere garantita anche nel successivo trasferimento.

L’EDPB ricorda, infine, che il monitoraggio e la revisione della decisione di adeguatezza eventualmente assunta spettano alla Commissione, che ha anche l’onere di controllare periodicamente che il livello di protezione garantito da uno stato terzo venga rispettato, anche successivamente all’assunzione di tale decisione. Inoltre, la Commissione dovrebbe effettuare procedure di riesame almeno ogni tre anni. Infine, la redazione di ogni documento rilevante dovrebbe essere condivisa con il Comitato stesso, in modo da garantire che gli aspetti concreti siano condivisi da tutte le istituzioni coinvolte.

Conclusioni

Sarà importante verificare fino a che punto giungerà il “braccio di ferro” in corso tra la legislazione statunitense e le perplessità manifestate dal Comitato. La posizione della Commissione è seriamente delicata, dal momento che ha l’onere di valutare con attenzione ed in maniera ponderata i profili di garanzia concessi dalla normativa d’oltreoceano, per tutelare i dati personali degli interessati dell’Unione. Quel che appare certo è che la finalizzazione del DPF è l’unico modo per assicurare la completa legittimità del trasferimento dei dati personali verso gli USA. Risulta alquanto complicato sostenere che le parti private, tramite le clausole contrattuali standard, ad esempio, siano in grado di attestare il livello di tutela adeguato, se negli Stati Uniti è la stessa legge ad allargare le maglie dei poteri operativi delle autorità di intelligence.

