Google Analytics implica un trasferimento dati UE-USA attualmente non coperto da un patto privacy transatlantico e quindi illegale. Tuttavia, il Draft della Decisione di Adeguatezza pubblicato il 13.12.22 dalla Commissione europea dice il contrario. Il nuovo quadro normativo americano dopo l’Executive Order di Biden del 7.10.22 presenta una maggiore tutela della privacy dei cittadini europei.
Gli Stati Uniti offrono un livello di protezione dati sostanzialmente equivalente a quello del GDPR. Questa la conclusione della Commissione UE chiamata a emettere una decisione di adeguatezza sul sistema statunitense in merito alla tutela privacy dei flussi informativi europei migranti in America. Dunque, salvo opposizioni, tra 7 o 8 mesi potremo riutilizzare Google Analytics. Sarà vero? Livello di protezione “sostanzialmente equivalente”. Il Considerando 104 abbinato all’articolo 45 del GDPR spiega che «il paese terzo dovrebbe offrire garanzie di un adeguato livello di protezione sostanzialmente equivalente a quello assicurato all'interno dell'Unione, segnatamente quando i dati personali sono trattati in uno o più settori specifici». Prima dell’ Executive Order di Biden, gli Stati Uniti non garantivano un livello di protezione adeguato. La Corte di Giustizia nella sentenza del 16 luglio 2020 nella causa C-311/18, Data Protection Commissioner contro Facebook Ireland Limited e Maximillian Schrems Schrems II indica gli elementi non adeguati del sistema americano ovvero l’accesso senza limiti nè proporzionalità consentito alle agenzie di intelligence sui dati degli europei e la mancanza della possibilità di difesa con un reclamo o un ricorso presso un organismo indipendente. ll 7 ottobre 2022 gli Stati Uniti hanno adottato l' Executive Order 14086 Enhancing Safeguards for US Signals Intelligence Activities EO 14086 integrato da un regolamento sulla Corte di revisione della protezione dei dati emesso dal Procuratore generale degli Stati Uniti. Inoltre, è stato aggiornato il quadro normativo che si applica alle società commerciali che trattano i dati trasferiti dall'Unione ovvero il Data Privacy Framework UE-USA DPF UE-USA . La Commissione UE, una volta esaminato l’Executive Order 14086 con il regolamento sulla nuova Corte di Revisione e il Data Privacy Framework, ha concluso che adesso gli Stati Uniti offrono un livello di protezione dati sostanzialmente equivalente a quello del GDPR. Pertanto la decisione sull’adeguatezza è stata positiva. La Corte di Giustizia nella sentenza del 6 ottobre 2015 nella causa C 362/14, Maximillian Schrems contro Data Protection Commissioner Schrems 1 , aveva chiarito infatti che per addivenire a un livello di protezione equivalente a quello del GDPR non si richiede di trovare un livello di protezione identico. Piuttosto la questione si sostanzia nel verificare se l’ordinamento giuridico estero offra una tutela equivalente a livello sostanziale. L'ordine esecutivo introduce nuove garanzie vincolanti per affrontare le preoccupazioni sollevate dalla Corte di giustizia dell'Unione europea nella sua sentenza Schrems II. Impone limitazioni e garanzie all'accesso ai dati da parte delle agenzie di intelligence statunitensi e istituisce un meccanismo di ricorso indipendente e imparziale per gestire e risolvere le denunce degli europei in merito alla raccolta dei loro dati a fini di sicurezza nazionale. L’Executive Order di Biden 7.10.22 limita l’accesso delle intelligence. L'Executive Order 14086 OE 14086 ha attuato gli impegni assunti dagli Stati Uniti nell'accordo di principio annunciato a marzo dalla presidente Von Der Leyen e dal presidente Biden ed in particolare limita le possibilità di accesso ai dati dei cittadini europei da parte delle agenzie di intelligence. Per gli europei i cui dati personali vengono trasferiti negli Stati Uniti, l'ordine esecutivo prevede accessi delle agenzie di intelligence limitati allo strettamente necessario e proporzionato per garantire la sicurezza nazionale maggiore supervisione delle agenzie di intelligence sulle attività di sorveglianza informativa onde evitare abusi adozione di un meccanismo di ricorso effettivo di fronte a un giudice indipendente ovvero di fronte all’istituita Corte di Revisione che consenta al cittadino europeo di ottenere un’indagine imparziale sull’operato delle agenzie di intelligence nonchè l’ottenimento di una decisione altrettanto imparziale. L'ordine esecutivo richiede alle agenzie di intelligence statunitensi di rivedere le loro politiche e procedure per attuare queste nuove salvaguardie. I requisiti stabiliti nell’Ordine esecutivo emesso dal presidente sono vincolanti per l'intera comunità dell'intelligence. Devono essere ulteriormente implementati attraverso politiche e procedure dell'agenzia che li traspongano in indicazioni concrete per le operazioni quotidiane. A questo proposito, l'OE 14086 concede alle agenzie di intelligence statunitensi un massimo di un anno per aggiornare le loro politiche e procedure esistenti vale a dire entro il 7 ottobre 2023 per allinearle ai requisiti dell'OE. Tali politiche e procedure aggiornate devono essere sviluppate in consultazione con l'Attorney General, il Civil Liberties Protection Officer del Director of National Intelligence ODNI CLPO e il Privacy and Civil Liberties Oversight Board PCLOB un organismo di supervisione indipendente autorizzato a rivedere politiche dell'esecutivo e la loro attuazione, al fine di tutelare la vita privata e le libertà civili ed essere rese pubbliche. Inoltre, una volta che le politiche e le procedure aggiornate saranno in atto, verrà condotta una revisione dal PCLOB per garantire che siano coerenti con l'EO. La Corte di Revisione protezione effettiva contro le interferenze governative. La Commissione UE dichiara che un altro elemento determinante per assumere la decisione di adeguatezza è costituito dall’istituzione della Corte di Revisione della protezione dati. Infatti se da una parte l’ammissione di eventuali accessi delle intelligence ai dati europei comporta il rischio di interferenze indebite nella vita privata, dall’altra tale rischio viene fortemente temperato dall’esistenza di una protezione giuridica effettiva contro tali interferenze. Così la Commissione « 195 Infine, sulla base delle informazioni disponibili sull'ordinamento giuridico statunitense, comprese le informazioni contenute negli allegati VI e VII, la Commissione ritiene che qualsiasi interferenza nell'interesse pubblico, in particolare ai fini dell'applicazione del diritto penale e della sicurezza nazionale, dalle autorità pubbliche statunitensi con i diritti fondamentali delle persone i cui dati personali sono trasferiti dall'Unione agli Stati Uniti ai sensi dell'EU-US Data Privacy Framework, saranno limitati a quanto strettamente necessario per raggiungere l'obiettivo legittimo in questione, e che esiste una protezione giuridica effettiva contro tali interferenze. Pertanto, alla luce di quanto precede, si dovrebbe decidere che gli Stati Uniti assicurano un livello di protezione adeguato ai sensi dell'articolo 45 del regolamento UE 2016/679, interpretato alla luce della Carta dei diritti fondamentali del Unione Europea, per i dati personali trasferiti dall'Unione Europea a organizzazioni certificate ai sensi del Data Privacy Framework UE-USA». La Corte di Revisione della protezione dati è composta da membri esterni al governo USA, nominati sulla base di qualifiche specifiche, inamovibili e licenziabili solo per giusta causa condanna penale o inadeguatezza mentale o fisica con divieto di assumere istruzioni dal governo. La Corte di revisione avrà il potere di indagare sulle denunce dei cittadini europei e sarà in grado di prendere decisioni correttive vincolanti . Ad esempio, se si dovesse constatare che i dati sono stati raccolti in violazione delle garanzie previste dall'ordine esecutivo, sarà in grado di ordinare la cancellazione dei dati. Verrà garantito un processo equo e giusto grazie alla nomina di un avvocato specializzato e di esperienza in modo da offrire una tutela effettiva al denunciante. Il Data Privacy Framework UE-USA e la certificazione. La Commissione europea nella decisione per l’adeguatezza è stata confortata anche dall’aggiornamento del quadro giuridico statunitense inerente al modello privacy per il trattamento dei dati provenienti dall’Europa ovvero il Data Privacy Framework UE-USA DPF . Le società americane destinatarie delle informazioni degli europei e partecipanti al DPF devono rispettare degli obblighi precisi istituiti dai cosiddetti Principi . Solo il pieno rispetto di questi Principi consente di acquisire la certificazione di partecipante al DPF UE-USA. I Principi impongono di fornire un’i nformativa in cui si specifica l’adesione al DPF UE-USA, i tipi di dati personali raccolti e le finalità della raccolta e del trattamento dei dati personali i tipi o le identità delle terze parti a cui si divulgano i dati personali e le finalità di tale divulgazione l'organismo indipendente di risoluzione delle controversie designato per trattare i reclami e fornire un adeguato ricorso gratuito l'obbligo di comunicare i dati personali in risposta a legittime richieste delle pubbliche autorità e la responsabilità dell'ente in caso di successive cessioni a terzi offrire la possibilità di opposizione a ulteriori diffusioni a terzi, a ulteriori utilizzi per finalità diverse assumendosi la responsabilità per i trasferimenti successivi garantendo che il terzo presta lo stesso livello di protezione richiesto dai Principi -richiedere il previo consenso per comunicare i dati sensibili o utilizzarli per fini diversi assumendosi la responsabilità per i trasferimenti successivi garantendo che il terzo presta lo stesso livello di protezione richiesto dai Principi -adottare misure di sicurezza ragionevoli e appropriate per proteggere i dati personali da perdita, uso improprio e accesso non autorizzato, divulgazione, alterazione e distruzione, tenendo in debita considerazione i rischi connessi al trattamento e la natura dei dati personali -garantire l’ integrità dei dati e la limitazione delle finalità -garantire all’interessato l’ esercizio dei diritti privacy ovvero accedere, correggere, modificare o eliminare i propri dati personali, fatte salve alcune limitate eccezioni -garantire ricorsi effettivi con meccanismi di ricorso indipendenti prontamente disponibili con procedure di follow-up per la verifica della veridicità delle attestazioni e asserzioni delle società con obblighi di porre rimedio al mancato rispetto dei Principi, accompagnati da sanzioni sufficientemente rigorose. Le società certificate potranno ricevere dati personali sulla base del DPF UE-USA dalla data in cui vengono inserite nell'elenco DPF dal Dipartimento del Commercio degli Stati Uniti. Come per il precedente Scudo UE-USA per la privacy, le società devono ricertificare annualmente la loro partecipazione al Framework e, se lasciano il DPF UE-USA per qualsiasi motivo, rimuovere tutte le dichiarazioni che implicano che la società continua a partecipare al DPF UE-USA. L’appartenenza al DPF sottopone le società ai poteri investigativi ed esecutivi della Federal Trade Commission, del Dipartimento dei trasporti o di altro ente che assicurerà effettivamente il rispetto dei Principi. Sono previsti meccanismi di supervisione e applicazione al fine di verificare e garantire che le società registrate al DPF UE-USA rispettino i principi e che venga affrontato qualsiasi mancato rispetto. Tali meccanismi sono definiti nei Principi allegato I e negli impegni assunti dal DoC allegato III , dalla FTC allegato IV e dal DoT allegato V . Riutilizzeremo presto Google Analytics? Dipende da Schrems. La Decisione di adeguatezza della Commissione UE potrebbe essere il preludio per riutilizzare presto Google Analytics tirando un bel sospiro di sollievo dopo tutte le vicissitudini che ciascuno di noi ha affrontato per sostituirlo con un servizio similare europeo. Tuttavia, incombe un’eventuale terza azione di Schrems presso la Corte di Giustizia che ha già abbattuto le precedenti decisioni di adeguatezza della Commissione. L’Avvocato attivista privacy ha già rilasciato dichiarazioni negative sostenendo che anche questa volta non sono stati rispettati i diritti dei cittadini europei «la Commissione Europea ha emesso una nuova decisione di adeguatezza in sostituzione della decisione Privacy Shield , precedentemente invalidata dalla Corte di giustizia dell'UE CGUE sulla sorveglianza statunitense. La CGUE ha richiesto 1 che la sorveglianza statunitense sia proporzionata ai sensi dell'articolo 52 della Carta dei diritti fondamentali CFR e 2 che vi sia accesso al ricorso giudiziario, come richiesto dall'articolo 47 CFR. La legge statunitense aggiornata Executive Order 14086 sembra fallire su entrambi i requisiti, in quanto non modifica la situazione rispetto al PPD-28 precedentemente applicabile. C'è una continua sorveglianza di massa e un tribunale che non è un tribunale vero e proprio. Pertanto, qualsiasi decisione di adeguatezza dell'UE basata sull'ordine esecutivo 14086 probabilmente non soddisferà la CGUE».