Concordare un nuovo accordo sul trasferimento di dati con gli Stati Uniti è una "priorità assoluta" per l'UE, ha affermato ieri Margrethe Vestager, vicepresidente esecutiva del blocco per la strategia digitale, ma ha anche avvertito che un sostituto del defunto scudo UE-USA per la privacy. Safe Harbor prima di allora) non è affatto un accordo chiuso, dato il fondamentale scontro legale tra i diritti alla privacy europei e la sorveglianza eccessiva degli Stati Uniti.
Nelle ultime settimane, alcuni resoconti dei media hanno suggerito che un nuovo accordo sui trasferimenti di dati transatlantici è imminente, secondo a rapporto politico del 3 febbraio.
Tuttavia, i messaggi del Commissario Vestager suggeriscono il contrario.
"Questo è uno sforzo prioritario per raggiungere un tale accordo con gli americani", ha affermato durante una sessione di domande e risposte in una conferenza stampa sull'ultima proposta della Commissione sulla condivisione dei dati (nota anche come legge sui dati). “Non è facile, per usare un eufemismo. Perché abbiamo preso la guida, ovviamente, dalla corte [CGUE] che si è pronunciata sulla base della Carta dei diritti fondamentali, che non è qualcosa che possiamo o cambieremo".
“Quindi dobbiamo trovare un modo per lavorare con gli americani che siano d'accordo con questo, ovviamente, in modo da non ottenere un giudizio negativo su Schrems III (Conformità a Schrems II: sfide e soluzioni per la privacy dei dati), se questo è il caso. Ma per noi è una priorità consentire alla comunità aziendale di ottenere il massimo dai dati, ma ancora una volta di farlo in condizioni sicure, chiare e trasparenti, ed è per questo che stiamo portando avanti questo obiettivo".
Il motivo per cui la questione del trasferimento dei dati è sorta nell'ambito del Data Act, suggerito dalla stessa Vestager, riguarda principalmente i dati non personali (mentre la sentenza Schrems che ha respinto il Privacy Shield e l'assicurazione del porto si riferisce all'esportazione di dati personali al di fuori il blocco). )—è che il disegno di legge propone una sorta di "Schrems II per i dati non personali", come l'hanno prontamente definito gli esperti di protezione dei dati.
Un memorandum esplicativo prefisso al progetto di proposta di legge sui dati elenca le "garanzie contro il trasferimento illegale di dati senza notifica da parte dei fornitori di servizi cloud" come uno dei suoi obiettivi specifici, spiegando: "Questo perché sono state sollevate preoccupazioni su ciò che non rientra nell'UE/ Spazio economico europeo (SEE) accesso illegale del governo ai dati. Tali salvaguardie dovrebbero rafforzare ulteriormente la fiducia nei servizi di elaborazione dei dati che sono sempre più alla base dell'economia dei dati europea".
L'articolo 27 della Legge sui dati, che si occupa di accesso e trasferimento internazionale, stabilisce inoltre:
"I fornitori di servizi di trattamento dei dati adottano tutte le misure tecniche, legali e organizzative ragionevoli, comprese le disposizioni contrattuali, per impedire il trasferimento internazionale o l'accesso del governo ai dati non personali detenuti nell'Unione qualora tale trasferimento o accesso crei un conflitto con l'Unione. o la legislazione nazionale dello Stato membro interessato”
Tirando le somme, secondo una fonte Ue esperta in materia, ha affermato: "Stiamo dicendo che i dati non personali non dovrebbero lasciare l'Ue se rischiano di cadere nelle mani di spie straniere", paragonandolo anche a un " Schrems II per i dati non personali”.
Quindi, a chiunque immagini l'incertezza legale regionale che incombe (soprattutto) sui servizi cloud con sede negli Stati Uniti, dalla metà del 2020 sembra nient'altro che una piccola nebbia che sicuramente si schiarirà, ma mentre potrebbe influenzare minacciosamente i trasferimenti di dati dell'UE.
Qui, nella bozza del Data Act, la Commissione può essere vista sostanzialmente raddoppiare su Schrems II, piuttosto che cercare modi per aggirare la sentenza della CGUE, come ha fatto dopo Schrems I, affrettandosi ad accettare uno scudo della privacy con elementi molto evidenti vizi legali.
I due attacchi successivi della Corte di giustizia dell'Unione europea (CGUE) su questo tema sembrano aver posto fine a qualsiasi tentativo altrettanto superficiale di nascondere vizi giuridici fondamentali.
Il che a sua volta significa che parlare di segregazione/federazione dei servizi e aumento della localizzazione dei dati nell'UE è molto reale, almeno mentre le principali riforme della legge sulla sorveglianza degli Stati Uniti falliscono.
Durante la conferenza stampa del Data Act, Vestager ha respinto il suggerimento di un giornalista secondo cui il Data Act è protezionista, affermando: "È vantaggioso per le aziende, non importa da dove provengano, che i dati possano fluire".
Ma ha anche chiarito che il regolamento dell'UE è vincolante, quindi è chiaro che senza un accordo di trasferimento dei dati sostitutivo tra l'UE e gli Stati Uniti, i dati non fluiranno liberamente.
Anche, apparentemente, dati "non personali". Il che aumenta ulteriormente la posta in gioco e rischia di trasformare lo stesso Data Act in una sorta di strumento negoziale del Privacy Shield, dato che, senza un nuovo e solido accordo sul trasferimento dei dati tra l'UE e il passaggio degli Stati Uniti, il passaggio agli Stati Uniti potrà essere reso più semplice in futuro solo se i dati viene trasferito da un fornitore statunitense a un fornitore dell'UE, non viceversa.
“Il punto è che ovviamente abbiamo l'obbligo di assicurarci che il modo in cui le cose scorrono sia conforme alle disposizioni sulla protezione dei dati; ecco perché possiamo prendere queste decisioni di adeguatezza”, ha sottolineato Vestager. “Questo va oltre la legge sui dati. In questo momento lo è il nostro collega Didier Reynders [commissario della giustizia]. fascicolo principale dei negoziati con gli USA e il monitoraggio della sentenza Schrems II.
“Quindi il Data Act non sarà da solo. Continueremo questo lavoro prendendo decisioni di adeguatezza con le giurisdizioni di paesi terzi dove possiamo vedere che le cose stanno come dovrebbero essere".
Anche il commissario per il mercato interno, Thierry Breton, ha ribadito il punto alla stampa. "L'obiettivo della legge sui dati è quello di aprire e sbloccare i dati industriali", ha affermato. “È importante fornire regole e spiegazioni in modo che tutte le aziende, europee e non, sappiano esattamente quali sono le regole del gioco nel mercato unico dell'UE. Diamo questa legittimità”.
"Per i servizi cloud, dobbiamo garantire che siano in atto misure di sicurezza per proteggere i dati personali dall'accesso forzato da parte di terzi, ad esempio un governo straniero, dove non esiste protezione procedurale o accordo internazionale, motivo per cui ne stiamo discutendo con il nostro partner per stabilire le regole.
"Certamente non impedisce il trasferimento volontario dei dati se l'azienda o il cittadino lo desiderano", ha aggiunto. “È ovvio, ma dobbiamo ricordarlo. In questo è ovviamente inclusa la cooperazione internazionale tra autorità giudiziarie e autorità di polizia”.
Con gli Stati Uniti, la situazione della protezione dei dati non è sicuramente quella che "dovrebbe essere" in relazione all'equivalenza con il diritto dell'UE così com'è. diversamente da.
Questo è il motivo per cui, negli ultimi mesi, le autorità di regolamentazione della protezione dei dati in tutta l'UE hanno emesso decisioni di applicazione che coinvolgono l'uso dei principali servizi con sede negli Stati Uniti, ma affermando che l'uso deve essere conforme alla legislazione dell'UE (e attualmente non lo è), e quindi potrebbe essere necessario cercare alternative, a causa dell'ovvio divario che esiste.
Il watchdog francese, ad esempio, ha iniziato a lavorare per valutare alternative a Google Analytics per la misurazione e l'analisi dell'audience del sito Web che potrebbero essere esentate dalla necessità di ottenere il consenso dell'utente.
Anche l'uso dei servizi cloud da parte degli enti del settore pubblico europeo sta affrontando un controllo coordinato attraverso un'azione di contrasto congiunta iniziata all'inizio di questo mese, incentrata allo stesso modo sulle preoccupazioni relative ai trasferimenti internazionali di dati.
Inoltre, ovviamente, c'è ancora un'importante decisione incombente sui flussi di dati UE-USA di Facebook, che erano l'obiettivo originale di Schrems, nel 2013.
Un ordine per sospenderli potrebbe arrivare già a maggio, secondo il capo della Irish Data Protection Commission (DPC), Helen Dixon, in un'intervista a Reuters. Anche se ha anche chiarito che l'autorità di regolamentazione irlandese non emetterà ordini generali sulla base di ciò che decide su Facebook.
"La decisione che il DPC alla fine prenderà in relazione a Facebook sarà specifica per Facebook e diretta solo a Facebook", ha affermato. “La conseguenza della decisione della CGUE è che non possiamo trarre una conclusione più ampia e radicale. Dobbiamo andare azienda per azienda", sottolineando inoltre che ci sono "centinaia di migliaia di entità" che avrebbero potenzialmente bisogno di essere esaminate, secondo il rapporto Reuters, a partire da altre principali piattaforme Internet.
Il DPC aveva già emesso un'ordinanza di sospensione preliminare a Facebook poco dopo la sentenza Schrems II della CGUE, nel settembre 2020, ma il colosso tecnologico ha ottenuto rapidamente la sospensione, prima di perdere l'impugnazione del procedimento normativo dinanzi alla High Court of Ireland lo scorso maggio.
E come riportato all'inizio di questa settimana, il DPC ha ora presentato una bozza di decisione rivista al genitore di Facebook Meta, dando alla società un mese per rispondere.
Dopodiché, gli altri organismi di controllo dei dati dell'UE avranno la possibilità di rivedere e potenzialmente contestare la bozza di decisione irlandese, che potrebbe aggiungere altri mesi al processo decisionale. Ma se c'è un ampio accordo su qualunque cosa l'Irlanda abbia concluso, la linea di Dixon è che "la prima volta in cui potremmo avere una decisione finale potrebbe essere la fine di maggio".
Il lento ritmo di applicazione dell'Irlanda nelle indagini sui giganti della tecnologia significa che non c'è assolutamente alcuna possibilità che altre decisioni a breve termine atterrino sulla questione dei trasferimenti di dati contro artisti del calibro di Google.
Tuttavia, in tutta l'UE, stiamo assistendo ad altre autorità di regolamentazione che agiscono laddove hanno competenza locale, quindi potrebbe trattarsi di un caso di "morte per migliaia di reclami" contro strumenti come Google Analytics, per i quali esistono alternative praticabili (Facebook non lo fa è l'unico social network, ma è più vincolante, a causa degli effetti della rete e delle sfide relative alla portabilità dei dati).
Una domanda scottante è se ci sarà un nuovo 'Scudo per la privacy 2.0' concordato tra l'UE e gli Stati Uniti prima che l'Irlanda decida sui flussi di dati di Facebook, supponendo che ci sia una decisione finale da parte dell'Irlanda entro la fine di maggio.
Anche se a quel punto c'è un accordo di base tra le due parti sulla sostanza di un nuovo accordo, il calendario sembra ravvicinato e qualsiasi nuovo progetto di accordo di adeguatezza deve ancora essere adottato dalla Commissione, che dovrà attendere il parere del Commissione Europea per la Protezione dei Dati (EDPB).
L'ultima volta, dopo l'invalidazione di Safe Harbor nell'ottobre 2015, sono trascorsi circa sette mesi tra la pubblicazione della bozza di accordo Privacy Shield (febbraio 2016) e il meccanismo adottato dalla Commissione, e infine la marcia attuativa per l'autocertificazione delle imprese ( agosto 2016).
Sebbene, in particolare, il Gruppo di lavoro 29, noto anche come l'organismo composto dalle agenzie per la protezione dei dati degli Stati membri divenuto da allora l'EDPB, abbia convenuto di non interrompere alcun trasferimento durante il periodo di analisi del Data Shield Privacy.
Meta potrebbe scommettere su un periodo di grazia di attuazione altrettanto generoso per qualsiasi nuovo scudo per la privacy, consentendole di continuare a eludere un ordine di sospensione dei flussi di dati tra l'UE e gli Stati Uniti.
Detto questo, non è chiaro se l'EDPB questa volta se la sentirà di farlo, dato che le applicazioni sul tema del trasferimento dei dati stanno già avvenendo senza che sia necessario attendere l'Irlanda.
Le 101 denunce di Schrems dell'agosto 2020, depositate deliberatamente presso le agenzie di tutta l'UE per contrastare gli acquisti di gruppo, lo hanno assicurato.
Naturalmente, è probabile che anche la CGUE abbia un'opinione molto negativa su qualsiasi accordo di adeguatezza sostitutivo che ripeta gli errori del passato. E la corte ha dimostrato di saper accelerare le deliberazioni quando percepisce rischi significativi per i diritti fondamentali. Quindi, mentre Privacy Shield ha zoppicato per quattro anni, qualsiasi sostituzione difettosa - chiamiamola "ombrello per la privacy" - potrebbe avere una durata ancora più breve prima di esplodere irrimediabilmente.
Forse il momento clou: un terzo sciopero della CGUE sarebbe di grande imbarazzo per la Commissione, il che spiega i forti segnali di avvertimento di Vestager, al punto da affermare esplicitamente di non volere "un giudizio negativo Schrems III".
Se la Commissione prenderà ancora una volta volontariamente flussi di metadati illegali è una domanda particolarmente interessante.
Non è la stessa entità che ha attraversato tutto quest'ultima volta. Inoltre, ha intrapreso un'ambiziosa agenda di politica tecnologica, di cui il Data Act è solo l'ultimo pezzo del puzzle, insieme a nuovi e radicali piani per domare il potere di mercato dei giganti della tecnologia, aggiornare le regole del commercio elettronico e definire un quadro per "IA affidabile". , tra le molte altre iniziative legislative, vuole rimodellare l'economia digitale e la società europea per rilanciare l'economia dell'UE.
Si parla quindi di un grande movimento di 'sovranità digitale'.
Tuttavia, la voglia dell'UE di scoprire cosa significhi concretamente la sovranità digitale potrebbe presto essere messa alla prova sul versante commerciale di dozzine di flussi di dati interrotti.
