L'Unione europea ha adottato un nuovo accordo transatlantico sull'adeguatezza dei dati con gli Stati Uniti.
La tanto attesa decisione significa che c'è una risoluzione immediata all'incertezza giuridica che circonda le esportazioni di dati personali degli utenti dell'UE da parte di società statunitensi, un problema che ha colpito migliaia di aziende negli ultimi anni, grandi e piccole, comprese aziende come Meta e Google , per citarne alcuni di alto profilo.
Durante una conferenza stampa che annunciava la decisione di adeguatezza, il commissario Ue alla giustizia, Didier Reynders, si è detto fiducioso che questa volta, il terzo accordo di questo tipo che l'esecutivo del blocco concede agli Usa, sarà definitivo.
"Con l'adozione della decisione di adeguatezza, i dati personali possono ora fluire liberamente e in sicurezza dallo Spazio economico europeo agli Stati Uniti senza ulteriori condizioni o autorizzazioni", ha affermato. "Pertanto, la decisione di adeguatezza garantisce che i dati possano essere trasmessi tra l'Unione Europea e gli Stati Uniti sulla base di un accordo stabile e affidabile che protegga le persone e fornisca certezza giuridica alle aziende".
L'accordo politico UE-USA sul Data Privacy Framework (DPF) è stato annunciato nel marzo 2022, ma ci è voluto più di un anno per elaborare tutti i dettagli. Nel frattempo, il precedente meccanismo per semplificare le esportazioni di dati sullo stagno è stato invalidato dai giudici dell'UE quasi tre anni fa. Pertanto, l'adozione di un nuovo accordo di sistemazione pone davvero fine ad anni di incertezza giuridica che affliggono i principali servizi cloud statunitensi e molti altri attori digitali.
Detto questo, la grande domanda per il DPF è quanto sarà durevole questo terzo accordo sull'adeguatezza dei dati tra l'UE e gli Stati Uniti.
Reynders è stato molto più ottimista del solito su questo tema, sostenendo che il framework non è semplicemente un copia-incolla di precedenti meccanismi di trasferimento (falliti), ma "un sistema molto diverso", che ha suggerito essere "una soluzione molto solida". a una divisione legale radicata.
Ha anche suggerito che l'UE abbia ascoltato attentamente il feedback mentre lavorava per finalizzare un quadro che, secondo lui, garantisce "il pieno rispetto delle condizioni stabilite nella sentenza della più alta corte dell'UE".
“Questo era il mio mandato e il mio approccio in questi negoziati, e questo si riflette nelle soluzioni che abbiamo ottenuto. Affrontano in particolare i requisiti stabiliti dal tribunale in merito alla necessità di limitazioni e garanzie per l'accesso ai dati da parte delle agenzie di intelligence statunitensi in conformità con i principi di necessità e proporzionalità e la necessità di garantire un effettivo compenso per i cittadini dell'UE”.
Tuttavia, le azioni legali contro il DPF sono già in corso. Entrambi i precedenti accordi (noti anche come Safe Harbor e Privacy Shield) sono stati annullati dalla più alta corte del blocco dopo che i giudici hanno riscontrato che i dati personali esportati non erano protetti secondo gli standard legali richiesti a causa dei rischi posti dagli ampi poteri di sorveglianza degli Stati Uniti e dai difensori della privacy. mesi.
Un punto chiave per i critici è che dalla fine del Privacy Shield non abbiamo ancora assistito alla riforma dei poteri di sorveglianza degli Stati Uniti, senza che i legislatori accettino la necessità di riformare la controversa disposizione FISA 702 e approvare le protezioni per la privacy delle informazioni sugli stranieri.
Ciò significa che, in fondo, il DPF nasconde ancora lo stesso conflitto giuridico fondamentale, tra diritti alla privacy dell'UE e poteri di sorveglianza degli Stati Uniti, e potrebbe inesorabilmente affrontare la stessa valutazione di inadeguatezza una volta che i giudici dell'UE analizzeranno i dettagli.
Negli ultimi mesi, diverse altre istituzioni dell'UE hanno espresso preoccupazione per la prevista sostituzione della Commissione manca di chiarezza, il che suggerisce anche che gli adeguamenti dell'approccio di cui sopra potrebbero non fornire la necessaria equivalenza essenziale nella protezione dei dati. Sebbene vi sia stato anche il riconoscimento da parte di organizzazioni come il Consiglio europeo per la protezione dei dati che il DPF va oltre il contratti di trasferimento dai dati precedenti. La domanda è se sia sufficiente o meno per soddisfare lo standard della CGUE.
La decisione della Commissione in sé non significa molto in quanto è l'unica responsabile delle decisioni di adeguatezza dell'UE, e Reynders ha ammesso che il via libera di oggi è essenzialmente una decisione "unilaterale" dell'esecutivo dell'UE, in modo che i legislatori del blocco siano in grado di ottenere fare i propri compiti ancora una volta, nonostante una storia di aver sbagliato proprio queste equazioni.
Il gruppo della campagna sulla privacy no, il cui fondatore e presidente Max Schrems era dietro la denuncia originale contro i trasferimenti di dati UE-USA di Facebook, rimane critico nei confronti del quadro.
In risposta all'annuncio odierno della decisione di adeguatezza della Commissione, no ha confermato che presenterà una richiesta legale, affermando di avere "opzioni per questo" pronte per essere inviate alle autorità di regolamentazione e si aspetta che la questione torni alla CGUE all'inizio del prossimo anno.
Quindi siamo "partner" con gli Stati Uniti, ma gli Stati Uniti continuano a dire che i cittadini dell'UE sono "di seconda classe" e non hanno diritti fondamentali (secondo il 4° emendamento). #TADPF —Max Schrems (@maxschrems) 10 luglio 2023
Se il programma programmato di noyb si attiene, ci sarebbero ancora mesi (o addirittura anni) di deliberazione da parte del tribunale dell'UE. Quindi un verdetto finale sul DPF potrebbe richiedere anni. (Per un contesto comparativo, le questioni legali relative al predecessore del DPF, il Privacy Shield, sono state deferite al tribunale nel maggio 2018, con la sentenza della CGUE che ha annullato il meccanismo nel luglio 2020.)
Per ora, Schrems e noyb sostengono che il nuovo quadro è in gran parte lo stesso del Privacy Shield che non è riuscito a superare i giudici dell'UE, respingendo i principali cambiamenti evidenziati dai team dell'UE e degli Stati Uniti coinvolti nella negoziazione dell'accordo sostitutivo, come l'apparente accordo statunitense accettazione del principio del diritto dell'UE sull'uso dei dati "proporzionato". Questo teatro di proporzionalità, come lo chiama Noyb, è argomentato dal fatto che gli Stati Uniti non stanno assegnando la stessa definizione al termine che i giudici dell'UE intenderebbero nell'ordine esecutivo allegato al DPF dove gli Stati Uniti ora promettono che la sua sorveglianza degli stranieri sarà "proporzionato".
Non sono inoltre impressionati da un tentativo del DPF di rielaborare un altro problema che ha portato la CGUE a distorcere il Privacy Shield, relativo alla riparazione. Quindi, al posto dell'equivalente figura dell'Ombudsman, il DPF offre un Responsabile della Protezione delle Libertà Civili e quello che viene chiamato un “Tribunale”. Ma che, sottolineano, in realtà non è un tribunale; si tratta piuttosto di un “organo esecutivo parzialmente indipendente”, pertanto riassumono i cambiamenti solo come “minori miglioramenti”.
“Dicono che la definizione di follia è fare sempre la stessa cosa e aspettarsi un risultato diverso. Come "Privacy Shield", l'ultimo accordo non si basa su cambiamenti materiali ma su interessi politici", ha affermato Schrems in una dichiarazione. “Ancora una volta l'attuale Commissione sembra pensare che il pasticcio sarà il problema della prossima Commissione. La FISA 702 dovrebbe essere prorogata dagli Stati Uniti quest'anno, ma con l'annuncio del nuovo accordo, l'UE ha perso ogni potere per realizzare la riforma della FISA 702".
Anticipando le principali linee di attacco, Reynders si è preso del tempo per affrontare entrambe le aree nei suoi commenti, spiegando perché la Commissione ritiene che questo accordo sia diverso e rimarrà valido.
"Abbiamo apportato modifiche significative al quadro giuridico statunitense per soddisfare queste due serie di requisiti", ha suggerito. “Questo nuovo quadro è sostanzialmente diverso dal Privacy Shield UE-USA. a seguito dell'ordine esecutivo emesso dal presidente Biden lo scorso anno a seguito dei nostri negoziati. I requisiti di necessità e proporzionalità sono ora esplicitati chiaramente attraverso salvaguardie vincolanti e applicabili nel sistema legale statunitense.
“In pratica, ciò significa che nel decidere se e in che misura le agenzie di intelligence statunitensi debbano accedere ai dati, dovranno soppesare gli stessi fattori richiesti dalla giurisprudenza della Corte di giustizia dell'UE. Questi fattori includono la natura dei dati, la gravità della minaccia o il possibile impatto sui diritti delle persone. Su tale base, ogni agenzia di intelligence statunitense ha rivisto le proprie regole e procedure interne per implementare questi nuovi requisiti a livello operativo".
Sul meccanismo di ricorso rielaborato, Reynders lo ha descritto come "un tribunale indipendente e imparziale che ha il potere di indagare sui reclami presentati dagli europei e di emettere decisioni correttive vincolanti", osservando che l'organismo ha il potere di ordinare la cancellazione dei dati raccolti in violazione di i requisiti di necessità o di proporzionalità.
Inoltre, ha sottolineato che la Commissione ha prestato attenzione all'accessibilità del rimedio, suggerendo che il meccanismo è stato progettato per essere "di facile utilizzo", osservando che non vi è alcun impedimento per i cittadini dell'UE a presentare un reclamo. ( che prevedeva che potessero farlo nella loro lingua, tramite la loro autorità locale per la protezione dei dati, che invierà quindi il reclamo alle autorità competenti per loro conto).
“Saranno applicati requisiti di ammissibilità molto bassi”, ha sottolineato. “In particolare, l'informatore non dovrà dimostrare che le agenzie di intelligence statunitensi hanno avuto accesso ai loro dati. Questo è molto importante e cruciale per garantire un accesso effettivo alla riparazione in un'area che è per natura segreta.
"Prima di andare in tribunale la denuncia del denunciante sarà rappresentata da un avvocato speciale, sempre gratuitamente con i necessari nulla osta di sicurezza. Queste procedure comportano un certo grado di segretezza. Con un procuratore speciale, il tribunale prenderà la sua decisione solo dopo aver sentito entrambe le parti. Infine, il funzionamento di questo meccanismo di ricorso, compresi gli aspetti del giusto processo e il rispetto delle decisioni del nuovo tribunale, sarà supervisionato da un organismo indipendente specificamente responsabile della protezione dei dati, il Consiglio di vigilanza sulla privacy e le libertà civili.
"I principi del Data Privacy Framework sono forti e sono convinto che abbiamo compiuto progressi significativi che soddisfano i requisiti della Corte", ha affermato Reynders, avvisando le autorità statunitensi della necessità di rispettare effettivamente i loro impegni.
"Allo stesso tempo, la Commissione presterà particolare attenzione all'attuazione di questo nuovo quadro giuridico e non esiterà a reagire in caso di problemi o problemi", ha sottolineato.
I cinici potrebbero dire che l'intera saga UE-USA è semplicemente un modo per i legislatori su entrambi i lati di uno scisma legale inamovibile per acquistare altri anni di grazia (e mantenere le ruote del commercio in movimento). il modo. - lasciando i regolatori e i tribunali dell'UE gravati dalle conseguenze che ne derivano (e le società che affrontano un altro costoso pasticcio legale se l'accordo finisce per essere nuovamente annullato).
È un punto di vista che sembra avere un bel po' di credito se si considera come Meta, che è stata oggetto di un reclamo sui suoi trasferimenti di dati UE-USA, abbia confermato una violazione dei requisiti di esportazione dei dati del blocco. interrompere l'invio dei dati degli europei anche se le esportazioni sono risultate illegali.
A maggio, al gigante della tecnologia è stato concesso un periodo di circa sei mesi per conformarsi all'ordine di sospensione dei dati. Ora, poche settimane dopo quell'ordine, disponiamo di un meccanismo di trasferimento di alto livello recentemente ratificato a cui l'azienda deve aderire, il che significa che puoi semplicemente ignorare l'ordine di stop ancora umido modificando la tua base legale dichiarata per le esportazioni di dati in il DPF ed evitare di dover sospendere qualsiasi flusso di dati, aggirando sostanzialmente l'applicazione rigorosa (sebbene, con un conto di circa $ 1.3 miliardi da pagare).
Questa danza apparentemente senza fine, che no chiama un frustrante "ping pong legale", illustra quanto sia difficile per i cittadini dell'UE esercitare i diritti alla privacy che la legge sostiene esistano per proteggere le loro informazioni, anche se i giganti della tecnologia con redditizi modelli di business di data mining continuano a calpestare i diritti delle persone come al solito , a condizione che realizzino profitti sufficienti per poter cancellare le penalità come costo per fare affari.
Tuttavia, Reynders ha anche messo in guardia i giganti tecnologici statunitensi, osservando: "Le aziende saranno tenute a dimostrare di essere pienamente conformi al GDPR [Regolamento generale sulla protezione dei dati]".
E su quel fronte, Meta, almeno, ha un mal di testa crescente poiché i regolatori dell'UE, e più recentemente la CGUE, hanno messo in discussione la base giuridica che sostiene per l'elaborazione dei dati delle persone per il targeting degli annunci. Anche se il gigante della tecnologia pubblicitaria non è ora costretto a interrompere tutti i suoi flussi di dati tra l'UE e gli Stati Uniti, alcune dure riforme del modo in cui gestisce la sua attività di pubblicità comportamentale nell'UE sembrano ora inevitabili.
