Importante passo in avanti sui trasferimenti di dati personali verso gli Stati Uniti, che erano rimasti in stallo fin dal luglio 2020 a seguito della sentenza Schrems II emanata dalla Corte di giustizia europea, che aveva invalidato il Privacy Shield, l’accordo largamente diffuso con cui grandi organizzazioni e multinazionali potevano fino ad allora legittimare il trasferimento di dati tra Europa e Usa. Dopo due anni di negoziati difficili e infruttuosi, l’annuncio preliminare di un nuovo accordo arriva ora dal presidente americano Joe Biden e dalla presidente della Commissione europea Ursula von der Leyen.
Biden ha dichiarato: ” Questo nuovo accordo promuoverà la crescita e l’innovazione in Europa e negli Stati Uniti e aiuterà le aziende, piccole e grandi, a competere nell’economia digitale…Questo accordo sottolinea il nostro impegno condiviso per la privacy, la protezione dei dati e lo stato di diritto. E consentirà alla Commissione europea di autorizzare ancora una volta i flussi transatlantici di dati facilitando così 7,3 trilioni di dollari di relazioni economiche con l’UE”.
A sua volta Von der Leyen ha affermato che entrambe le parti “hanno trovato un accordo di principio per un nuovo framework riguardante il trasferimento transatlantico di dati. Ciò consentirà flussi di dati prevedibili e affidabili tra l’UE e gli Stati Uniti, salvaguardando la privacy e le libertà civili. E voglio davvero ringraziare il Commissario Reynders e il segretario Raimondo per i loro instancabili sforzi nell’ultimo mese per portare a termine una soluzione equilibrata ed efficace”.
Si tratta di un accordo “di principio” i cui dettagli al momento non sono noti, come si diceva.
Secondo quanto anticipato dalla presidente Commissione europea, il nuovo quadro regolatorio “consentirà flussi di dati prevedibili e affidabili, bilanciando sicurezza, diritto alla privacy e protezione dei dati”. All’atto pratico il nuovo accordo dovrebbe quindi consentire ai dati personali dei cittadini europei di essere salvati e gestiti in territorio statunitense senza che vengano meno le tutele del Gdpr.
Dopo i naufragi del “Safe Harbor” nel 2015 e del Privacy Shield nel 2020, quello che sarebbe importante è che fosse siglato un accordo duraturo che crei stabilità nei flussi di dati trasmessi oltreoceano, anche se secondo l’Avv. Max Schrems, attivista austriaco che già aveva posto le basi per gli annullamenti dei due precedenti accordi, la materia tornerà all’attenzione della Corte a pochi mesi dalla decisione finale.
Sta di fatto che, in attesa che venga formalizzata una soluzione politica giuridicamente sostenibile, negli ultimi due anni i dati hanno continuato a fluire come se nulla fosse pur in assenza di una valida base giuridica per il loro trasferimento oltreoceano, e specialmente negli ultimi mesi lo stesso Schrems ha dato un bel da fare a diverse autorità per la protezione dei dati europee con una serie di azioni legali che hanno complicato ulteriormente la vita di migliaia di imprese che hanno visto dichiarare illegale l’utilizzo di Google Analyitcs sui loro siti web, strumento che di fatto esporta negli Stati Uniti dati personali degli utenti, come i loro indirizzi IP e i loro identificatori univoci che vengono memorizzati nei cookie, informazioni che in certi casi, secondo le leggi americane, possono essere poi fornite anche alle autorità.
Per monitorare i prossimi sviluppi del nuovo accordo gli occhi sono ora puntati sul Trade and Technology Council tra Europa e Stati Uniti, i cui risultati saranno presentati nel mese di maggio.
Lo scetticismo di Schrems
Max Schrems, l’avvocato della privacy e l’attivista il cui nome è diventato sinonimo di accordi di trasferimento dati transatlantici (aka Schrems I e Schrems II) ha subito espresso scetticismo.
Rispondendo all’annuncio di von der Leyen in un tweet, ha scritto: “Sembra che facciamo un altro Scudo per la privacy soprattutto in un aspetto: la politica sulla legge e i diritti fondamentali. Tutto questo è già fallito due volte. Quello che abbiamo sentito è un altro approccio ‘patchwork’ ma nessuna riforma sostanziale da parte degli Stati Uniti. Aspettiamo un testo, ma la mia [prima] scommessa è che fallirà di nuovo”.
Schrems ha anche detto che si aspetta di essere in grado di ottenere qualsiasi nuovo accordo che non soddisfa i requisiti della legge UE di nuovo alla CGUE “nel giro di pochi mesi” attraverso una causa civile e un’ingiunzione preliminare.
“Analizzeremo il testo in profondità, insieme ai nostri esperti legali statunitensi. Se non è in linea con il diritto dell’UE, noi o un altro gruppo probabilmente lo contesteremo. Alla fine, la Corte di giustizia deciderà una terza volta. Ci aspettiamo che questo torni alla Corte entro mesi da una decisione finale”, ha osservato in una dichiarazione, “è deplorevole che l’UE e gli Stati Uniti non abbiano usato questa situazione per arrivare a un accordo ‘senza spie’, con garanzie di base tra democrazie simili. I clienti e le imprese devono affrontare altri anni di incertezza giuridica”.
L’applauso delle big tech
La risposta dell’industria tecnologica alla notizia di un altro accordo per il trasferimento dei dati è stata prevedibilmente positiva, come si vede da pronte dichiarazioni di Google e dell’associazione dell’industria tecnologica CCIA.