Dopo un’intensa valutazione degli ultimi due anni di applicazione del GDPR, la Commissione ha riconosciuto la necessità di migliorare la gestione dei casi transfrontalieri. Per questo, ha presentato una proposta di regolamento al fine di razionalizzare la cooperazione tra le Autorità nell’applicazione del Regolamento.
La Commissione Europea ha riconosciuto la necessità di ulteriori progressi nel trattamento dei casi transfrontalieri nel contesto del Regolamento Generale sulla Protezione dei Dati (GDPR) al fine di garantire efficienza ed armonizzazione.
Il rapporto della Commissione e la successiva proposta sottolineano l’importanza di affrontare le differenze nelle procedure amministrative nazionali, nelle interpretazioni dei concetti legati al meccanismo di cooperazione e nell’approccio alla fase di avvio della cooperazione, coinvolgimento delle Autorità di Protezione dei Dati (DPA) interessate e comunicazione di informazioni a tali autorità.
Che cos’è il Data Privacy Framework?
Il Data Privacy Framework è il nuovo quadro normativo in materia di trasferimento di dati tra Unione Europea e Stati Uniti D’America. Dopo tre anni di limbo legale, questo accordo è stato approvato qualche giorno fa dall’Unione Europea. Esso sostituisce il vecchio accordo transatlantico – Privacy Shield– precedentemente bocciato dalla Corte di Giustizia europea.
La proposta di regolamento si propone di integrare il GDPR e si allinea alle politiche e alle disposizioni dell’Unione Europea esistenti.
Essa non influenza i diritti dei soggetti interessati, gli obblighi dei titolari e dei responsabili del trattamento dei dati né le basi giuridiche per il trattamento dei dati personali come stabilito dal GDPR.
Piuttosto, la proposta di regolamento si basa sui principi fondamentali del GDPR relativi alle denunce, alla cooperazione e alla risoluzione delle controversie, integrandoli con aggiunte mirate per migliorare l’efficacia e l’efficienza dell’applicazione del GDPR nei casi transfrontalieri.
Mantenendo la coerenza con le altre politiche dell’Unione Europea, la proposta di regolamento contribuisce ad un approccio coeso e completo alla protezione dei dati all’interno dell’UE.
La proposta di regolamento della Commissione Europea affronta le sfide incontrate nella gestione dei casi transfrontalieri di protezione dei dati nel contesto del GDPR.
Specificando regole procedurali per le fasi chiave del processo investigativo, la proposta di regolamento mira a migliorare l’efficienza e l’armonizzazione.
Essa affronta le questioni relative alle denunce, ai diritti procedurali delle parti sottoposte a indagine, alla cooperazione e alla risoluzione delle controversie, nonché all’assenza di scadenze procedurali.
Attraverso queste misure, la proposta di regolamento mira a sostenere il corretto funzionamento dei meccanismi di cooperazione e risoluzione delle controversie previsti dal GDPR, migliorando l’applicazione della protezione dei dati in tutta l’UE.
Promuovendo la coerenza, l’efficacia e l’efficienza, la proposta di regolamento rafforza i diritti dei soggetti interessati e fornisce certezza giuridica alle imprese che operano in contesti transfrontalieri.
Le principali novità
La novità principale del Data Privacy Framework è l’adozione di una nuova decisione di adeguatezza, secondo la norma dell’articolo 45, paragrafo 3 del GDPR.
La nuova decisione di adeguatezza garantisce che la Data Protection statunitense sia paragonabile a quella europea. Oltre a ciò, la nuova decisione di adeguatezza determina una base giuridica concreta per il trasferimento dei dati personali dall’UE alle società statunitensi che contribuiscono al Data Privacy Framework, senza l’obbligo di predisporre garanzie aggiuntive per la protezione dei dati.
Conseguentemente, questo comporta la limitazione dell’accesso ai dati dell’UE da parte dei servizi di intelligence statunitensi, pertanto quest’ultimi non potranno più utilizzare in modo indiscriminato i dati dei cittadini europei, ma dovranno rispettare, teoricamente, i principi di proporzionalità e di sicurezza.
Le aziende statunitensi dovranno anche adempiere a diversi obblighi in materia di privacy, tra cui:
- Garanzia di continuità della protezione dei dati se condivisi con terzi;
- Obbligo di cancellazione dei dati personali dal momento in cui non sono più indispensabili rispetto all’obbiettivo per cui sono stati raccolti;
In aggiunta, per i cittadini europei sono persino previsti diversi strumenti di risoluzione delle controversie per il trattamento illecito dei dati, tra cui meccanismi indipendenti e gratuiti di risoluzione delle controversie e un collegio arbitrale.
La posizione di nyob
NOYB – European Centre for Digital Rights (designato come noyb, da “none of your business“) è un’organizzazione senza scopo di lucro con sede a Vienna, in Austria, fondata nel 2017 con un focus paneuropeo. Co-fondata dall’avvocato austriaco e attivista per la privacy Max Schrems, NOYB mira a lanciare casi giudiziari strategici e iniziative mediatiche a sostegno del regolamento generale sulla protezione dei dati (GDPR), della proposta di regolamento ePrivacy e della privacy delle informazioni in generale.
Le sentenze Shrems I e Shrems II
Le sentenze Schrems sono dei provvedimenti adottati dalla Corte di giustizia dell’Unione europea, per riorganizzare gli accordi, tra UE e USA, riguardo il trattamento di dati personali. Nel 6 ottobre 2015, la sentenza Schrems I portò all’annullamento del trattato preesistente di Safe Harbor, che consentiva alle aziende americane di gestire dati personali dei loro utenti europei su server americani, successivamente, il 16 luglio 2020, la sentenza Schrems II portò all’annullamento del Privacy Shield USA-UE e al riconoscimento della legalità delle clausole contrattuali tipo Standard Contractual Clauses.
Le dichiarazioni di Max Shrems: “impugneremo la decisione”
Secondo quanto dichiarato da noyb, il nuovo “Trans-Atlantic Data Privacy Framework” è una copia del Privacy Shield (del 2016), che a sua volta era una copia del Safe Harbor (del 2000). Dato che questo approccio è già fallito due volte in passato, non c’era alcuna base legale per il cambio di rotta: l’unica logica di avere un accordo era quella politica.
Max Schrems, presidente della noyb:“Si dice che la definizione di follia sia fare la stessa cosa più volte e aspettarsi un risultato diverso. Proprio come il ‘Privacy Shield’, l’ultimo accordo non si basa su cambiamenti materiali, ma su interessi politici.”
Mi freghi tre volte? Già all’indomani delle rivelazioni di Snowden , nel 2013, la Commissione europea aveva annunciato che avrebbe “ricostruito” la fiducia e“reso Safe Harbor più sicuro“, proponendo un“accordo ombrello“. Nel 2016 è stato detto ai giornalisti che il “Privacy Shield” avrebbe significato che “per la prima volta gli Stati Uniti hanno dato all’UE una garanzia scritta”, che ci sarebbero state “chiare limitazioni, salvaguardie e meccanismi di supervisione” e persino “nessuna sorveglianza indiscriminata di massa”. Nessuna di queste affermazioni e sistemi si è dimostrata stabile quando è stata sottoposta alla CGUE. Nell’attuale versione degli sforzi di pubbliche relazioni della Commissione, vengono avanzate le stesse affermazioni (sempre ripetute).
Max Schrems:“Abbiamo avuto “porti”, “ombrelli”, “scudi” e “quadri”, ma nessun cambiamento sostanziale nella legge sulla sorveglianza degli Stati Uniti. Le dichiarazioni alla stampa di oggi sono quasi una copia letterale di quelle degli ultimi 23 anni. Il solo fatto di annunciare che qualcosa è “nuovo”, “robusto” o “efficace” non basta davanti alla Corte di giustizia. Avremmo bisogno di modifiche alla legge sulla sorveglianza degli Stati Uniti per far funzionare la cosa – e semplicemente non le abbiamo”
Il ricorso alla CGUE è pronto per essere presentato. Chiunque abbia i propri dati personali trasferiti in base al nuovo accordo può presentare un ricorso alle autorità di protezione dei dati o ai tribunali. noyb ha preparato diverse opzioni procedurali per riportare il nuovo accordo davanti alla CGUE. Ci aspettiamo che il nuovo sistema venga implementato dalle prime aziende nei prossimi mesi, il che aprirà la strada a un ricorso da parte di una persona i cui dati vengono trasferiti in base al nuovo strumento. Non è improbabile che una contestazione possa arrivare alla CGUE entro la fine del 2023 o l’inizio del 2024. La CGUE avrebbe anche la possibilità di sospendere il “Quadro” per il tempo della procedura. Una decisione finale della CGUE sarebbe probabile entro il 2024 o il 2025. Indipendentemente dal successo di tale ricorso, questo porterà chiarezza sul “Quadro transatlantico sulla privacy dei dati” entro circa due anni.