Breve rassegna sulle decisioni di adeguatezza

Nell’edizione 2024 dell’Italian Legal Tech Report, edito da Giuffrè, è stata pubblicata un’analisi a cura del sottoscritto del nuovo Data Privacy Framework (premere qui per leggere). Da allora stiamo sviscerando su questo portale il tema del trasferimento dei dati personali. A inizio luglio ci siamo soffermati sulla nozione di trasferimento (premere qui per leggere), per poi proseguire con i profili del trasferimento nell’ambito del cloud computing (premere qui per leggere), passando per un’indagine sulla nozione generale di adeguatezza (premere qui per leggere), e sui profili pratici del trasferimento dei dati personali basato su una decisione di adeguatezza (premere qui per leggere), continuando ancora con un’analisi delle model contractual clauses come alternative alla decisione di adeguatezza (premere qui per leggere) e infine dei codici di condotta e meccanismi di certificazione (premere qui per leggere). Scopo di questo contributo, invece, è quello di passare in rassegna le principali decisioni di adeguatezza adottate prima e dopo l’introduzione del GDPR. 

Va subito chiarito che le decisioni di adeguatezza adottate prima dell’entrata in vigore del GDPR rimangono valide, inclusi i permessi concessi dal Garante per la protezione dei dati personali a seguito di tali decisioni. Attualmente, le decisioni di adeguatezza hanno riguardato i seguenti paesi o territori: Andorra, Argentina, Australia, Canada, Isole Faroe, Guernsey, Isola di Man, Israele, Jersey, Nuova Zelanda, Svizzera e Uruguay.

A seguito della Brexit, la Commissione Europea ha adottato due decisioni di adeguatezza nel giugno 2021: una ai sensi del Regolamento GDPR e l’altra ai sensi della Law Enforcement Directive. Queste decisioni, che fanno parte delle negoziazioni commerciali più ampie tra l’Unione Europea e il Regno Unito, permettono il libero trasferimento dei dati personali tra i due ordinamenti giuridici. 

Tra le decisioni di adeguatezza, la più nota è quella del 26 luglio 2000, che riguardava l’accordo tra l’Unione Europea e gli Stati Uniti, conosciuto come Safe Harbor Principles. Questo accordo fu annullato dalla sentenza della Corte di Giustizia “Schrems” e sostituito, nel febbraio 2016, dai nuovi accordi denominati “EU-US Privacy Shield”, adottati dalla Commissione con decisione del 12 luglio 2016.

Tuttavia, con la sentenza del 16 luglio 2020 relativa alla causa C-311/18 Facebook Ireland v. Schrems, nota come Schrems II, la Corte di Giustizia ha dichiarato l’invalidità della precedente decisione 2016/1250 riguardante l’adeguatezza della protezione offerta dal regime di Privacy Shield da parte della Commissione Europea. Va precisato che questa decisione di invalidità ha colpito esclusivamente il Privacy Shield, mentre le clausole contrattuali tipo (conosciute come Standard Contractual Clauses), stabilite nella decisione 2010/87, sono state ritenute valide. 

Il Privacy Shield prevedeva diversi meccanismi di protezione per il trasferimento dei dati personali. Tra questi, vi erano obblighi stringenti per le imprese che trasferiscono dati, e misure di sicurezza riguardanti l’accesso ai dati da parte del Governo degli Stati Uniti, che non era più illimitato come in passato. L’accordo includeva anche strumenti specifici per la tutela delle persone, come l’istituzione di un difensore civico (Ombudsperson) per gestire ricorsi e segnalazioni da parte degli interessati, e una revisione annuale congiunta per monitorare l’attuazione dell’accordo.

Inoltre, gli accordi limitavano fortemente la raccolta indiscriminata di dati (bulk collection of personal data), permettendo tale pratica solo in casi estremi e non come normale prassi di sicurezza nazionale, come stabilito nel paragrafo 59 degli accordi. Il Privacy Shield prevedeva anche strumenti di tutela per i soggetti interessati. Essi potevano rivolgersi direttamente alle imprese aderenti al Privacy Shield, che erano tenute a rispondere entro 45 giorni.

Un meccanismo ADR (Alternative Dispute Resolution) gratuito era disponibile per la risoluzione delle controversie. In alternativa, gli interessati potevano contattare la propria autorità nazionale competente per la protezione dei dati (in Italia, il Garante per la protezione dei dati personali), che collaborava con il Department of Commerce e la Federal Trade Commission degli Stati Uniti. Infine, era possibile indirizzare le richieste al Privacy Shield Panel, un collegio arbitrale che poteva emettere decisioni esecutive attraverso un lodo arbitrale.

Con la pronuncia *Schrems II*, la Corte di Giustizia dell’Unione Europea (CGUE) ha dichiarato l’invalidità della decisione riguardante l’adeguatezza del Privacy Shield,  ritenendo che la normativa statunitense sulla protezione dei dati personali non rispettasse principi stabiliti dal GDPR. In particolare, è stato evidenziato che il principio di proporzionalità non era rispettato, poiché le autorità statunitensi potevano accedere illimitatamente ai dati personali per motivi di sorveglianza nazionale. Questo accesso esteso e non limitato comprometteva i diritti effettivi degli interessati, che non potevano quindi esercitare adeguate protezioni nei confronti delle autorità statunitensi per tutelare i propri dati personali.

Inoltre, la Corte di Giustizia ha sostenuto che il meccanismo del difensore civico (Ombudsperson), previsto dal Privacy Shield, non avrebbe garantito le protezioni richieste dalla normativa comunitaria. In particolare, la Corte ha rilevato l’assenza di garanzie fondamentali, come l’indipendenza del difensore e l’esistenza di norme che conferiscano al difensore il potere di adottare decisioni vincolanti nei confronti dei servizi di intelligence e delle altre autorità statunitensi. 

La conclusione è che la legislazione americana, pur offrendo un elevato livello di protezione per la sicurezza nazionale, il pubblico interesse e l’applicazione della legge, compromette i diritti fondamentali delle persone (dei soggetti interessati). Questi diritti, ritenuti di primaria importanza nell’ambito del diritto dell’Unione Europea, non sarebbero adeguatamente tutelati. 

Il 27 settembre 2021, poi, l’European Data Protection Board (EDPB) ha emesso l’Opinione 32/2021 riguardante il progetto di decisione di adeguatezza della Commissione europea relativo alla Repubblica di Corea. L’EDPB si è concentrato sugli aspetti generali del GDPR e sull’accesso delle autorità pubbliche ai dati personali trasferiti dallo Spazio Economico Europeo (SEE) alla Repubblica di Corea. L’Opinione ha evidenziato l’allineamento tra i due sistemi di protezione dei dati in ambiti chiave, come le definizioni concettuali in materia di protezione dei dati, i requisiti di liceità del trattamento per finalità legittime, il principio di limitazione delle finalità, la conservazione dei dati, la sicurezza, la riservatezza e la trasparenza.

Infine, il 10 luglio 2023, la Commissione Europea ha emanato per la terza volta, una decisione di adeguatezza denominata stavolta “Data privacy framework”. Questa che ben potremmo definire, e ci sia concesso, come una nuova versione del “Privacy Shield” (che a sua volta, come abbiamo visto, era una nuova versione del “Safe Harbor”) è destinata in realtà ad avere una durata limitata, proprio come le due versioni precedenti. Infatti, il problema fondamentale non è stato affatto superato e dunque permane nei rapporti tra l’U.E. e gli Stati Uniti: la possibilità per le autorità governative americane di agire a proprio arbitrio sui dati dei cittadini degli Stati membri dell’Unione. 

È altamente probabile che, in un futuro prossimo, dopo le richiamate sentenze della Corte europea conosciute come “Schrems I” e “Schrems II”, che hanno smontato le precedenti decisioni della Commissione, si arrivi ad una “Schrems III” che porterà anche il nuovo testo alla stessa sorte dei due suoi predecessori. E questo causerà inevitabilmente e ancora una volta paura, incertezza e dubbi nell’ecosistema pubblico e privato che si affida alle Big Tech, oltre a finire inevitabilmente di rallentare il processo di transizione digitale. Le pubbliche amministrazioni e le aziende continueranno ad operare infatti sotto la minaccia di provvedimenti giudiziari o di Autorità nazionali di protezione, le quali ben potrebbero scoperchiare le fondamenta e scoprire, usando un’espressione Popperiana, i grattacieli di cristallo su palafitte di legno. 

Per approfondire:

- BIGNAMI-RESTA, Transatlantic Privacy Regulation: Conflict and Cooperation, in 78 Law & Cont. Probl., 101 (2015); 

- BOLOGNINI-PELINO-BISTOLFI, Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016; 

- MANTELERO, L’ECJ invalida l’accordo per il trasferimento dei dati personali fra EU ed USA. Quali scenari per i cittadini ed imprese?, in Contr. e impresa/Europa, 2015, 719; 

- MENEGHETTI, L’adeguatezza dei trasferimenti di dati personali negli USA, anche alla luce del nuovo Regolamento privacy Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali (artt. 44-50), in FINOCCHIARO, Il nuovo regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna-Roma, 2017; 

- PIRODDI, I trasferimenti di dati personali verso Paesi terzi dopo la sentenza Schrems e nel nuovo regolamento generale sulla protezione dei dati, in Dinf, 2015, 827; 

- RESTA-ZENO-ZENCOVICH (a cura di), La protezione transnazionale dei dati personali. Dai "safe harbour principles" al "privacy shield", Roma, 2016; 

- RICCIO, Model Contractual Clauses e Corporate Binding Rules: valide alternative al Safe Harbor Agreement?, in Dinf, 2015, 867; 

- SICA-D’ANTONIO-RICCIO, La nuova disciplina europea della privacy, Padova 2016; 

- SWIRE, US Surveillance Law, Safe Harbor, and Reforms Since 2013, Georgia Tech Scheller College of Business Research Paper, No. #36, 2015.

The following two tabs change content below.

• Bio
• Ultimi Post

Nicola Nappi

⚖️ Diritto commerciale, assicurativo, bancario, delle esecuzioni, di famiglia. Diritti reali, di proprietà, delle locazioni e del condominio. IT Law. a Studio Legale Nappi

*Giurista, Master Universitario di II° livello in Informatica Giuridica, nuove tecnologie e diritto dell'informatica, Master Universitario di I° livello in Diritto delle Nuove Tecnologie ed Informatica Giuridica, Corso di Specializzazione Universitario in Regulatory Compliance, Corso di Specializzazione Universitario in European Business Law, Corso di Perfezionamento Universitario in Criminalità Informatica e Investigazioni digitali - Le procedure di investigazione e di rimozione dei contenuti digitali, Corso di Perfezionamento Universitario in Criminalità Informatica e Investigazioni digitali - Intelligenza Artificiale, attacchi, crimini informatici, investigazioni e aspetti etico-sociali, Master Data Protection Officer, Consulente esperto qualificato nell’ambito del trattamento dei dati.

Ultimi post di Nicola Nappi (vedi tutti)

• Analisi giuridica e peculiarità del reato di frode informatica - Dicembre 16, 2024
• Ruolo e responsabilità del “responsabile del trattamento” nell’ecosistema del GDPR - Dicembre 9, 2024
• La qualificazione giuridica del contratto di licenza d’uso - Dicembre 2, 2024
• Sui limiti all’utilizzabilità delle deroghe al trasferimento transfrontaliero dei dati personali - Novembre 25, 2024
• L’esercizio di poteri pubblici come deroga al trasferimento transfrontaliero di dati personali - Novembre 18, 2024