EU-US Data Privacy Framework: quali strategie possono intraprendere le organizzazioni?

Stefano Gazzella : 23 Luglio 2023 15:45

Si discute molto delle strategie di mitigazione dei rischi legali per quanto riguarda l’esportazione dei dati personali verso gli Stati Uniti. Le garanzie di tutele analoghe a quelle del GDPR sono una vicenda che si protrae da lungo tempo, ben prima della sentenza Schrems risalente a luglio 2020 e ai primi vagiti del progetto nostrano di MonitoraPA.

Prima c’era il Safe Harbor, poi è arrivato il Privacy Shield. Entrambe decisioni di adeguatezza che sono venute meno su pronuncia della Corte di Giustizia dell’Unione Europea, su ricorso dell’attivista Maximilian Schrems di noyb. Adesso la Commissione UE ha licenziato la nuova decisione di adeguatezza riguardante l’EU-US Data Privacy Framework, concludendo così l’accordo fra Stati Uniti e Unione Europea per il trasferimento di dati personali.

La situazione di stallo si è formalmente risolta, ma l’incertezza non è venuta meno. Anche perchè ogni serie fortunata diventa facilmente una trilogia. Che poi tale trilogia possa essere o meno di successo, lo decide sempre il gradimento del pubblico.

Al momento la situazione è piuttosto semplice: l’esportazione dei dati verso gli Stati Uniti è possibile, purché il destinatario sia certificato secondo il Data Privacy Framework: è possibile controllare qui la lista aggiornata. E se si rientra nell’operatività della decisione di adeguatezza di cui all’art. 45 GDPR, non sono richieste specifiche autorizzazioni né ulteriori garanzie come le clausole contrattuali tipo o le norme vincolanti d’impresa. Ciononostante, le eventuali garanzie adottate ai sensi dell’art. 46 GDPR (nella maggior parte dei casi: clausole contrattuali tipo) possono essere mantenute e anzi comportano un rafforzamento della tutela dei diritti degli interessati.

Al momento l’idea di disconnessione dai servizi US-based si è allontanata, ma per quanto? E soprattutto: quali sono gli scenari prospettabili?

Verso Schrems III, fra critiche ed entusiasmi

Molti commentatori già parlano di un possibile Schrems III. E no, non è per qualche particolare colpo di genio o geniale intuizione, ma semplicemente perchè la stessa noyb ha immediatamente dichiarato l’intento di impugnare la decisione. Insomma: nulla che non ci potessimo (di nuovo) attendere.
Tant’è che il Commissario europeo alla giustizia Reynard ha commentato in modo piuttosto duro la possibilità che si assisterà ad un nuovo “caso” innanzi alla Corte di Giustizia, affermando che la reiterazione del ricorso segue il “business model” delle ONG. Parole che gli attivisti di noyb non hanno affatto gradito, stante la non troppo velata insinuazione circa la possibile presenza di interessi ulteriori rispetto allo scopo di difendere diritti umani nel mondo digitale.

Le alterne sorti di questa “battaglia per la privacy” vivono per lo più di narrazioni. Ma dopotutto è lo spirito stesso della democrazia: non è una norma a fondare una società, bensì è la stessa società – e dunque: i cittadini – a decidere l’assetto normativo. Tutto questo vale anche nel mondo digitale, che però è caratterizzato da alcune naturali distorsioni in ragione della presenza di quelle vere e proprie giurisdizioni indipendenti delle Big Tech. E se tutto questo già è nella percezione diffusa dei cittadini digitali, ciò è sufficiente per conferirne una carattere di effettività.

Le ONG che rivendicano una tutela di diritti e libertà che ruotano attorno all’identità digitale proseguiranno, e così faranno anche tutte le legittime operazioni di lobbying da parte dei grandi operatori di mercato. Da tutto questo deriva un’inevitabile e crescente situazione di incertezza piuttosto evidente per tutte le organizzazioni dato che sono e si troveranno sempre più immerse nella data economy.

Attesa o mitigazione dei rischi legali?

Il contesto esterno incide significativamente sui rischi correlati alle strategie che coinvolgono dati personali, e dunque tale parametro non può essere ignorato. Vero: al momento l’UE-US Data Privacy Framework è una decisione che consente tali attività e la selezione di fornitori statunitensi, e potrà prevedibilmente arrivare almeno ad una revisione annuale se non anche ad un secondo compleanno. Ma è altrettanto vero che se si sceglie di ignorare la possibilità di una sentenza Schrems III, limitandosi all’attesa, ci si potrebbe trovare nuovamente ad operare spinti dall’emergenza al fine di non incorrere in possibili violazioni del GDPR. O anche ad essere “presi di mira” da alcune campagne degli attivisti.

Come pianificare la mitigazione di questi rischi legali?

Non esiste una risposta univoca. Tutto dipende dal contesto in cui opera l’organizzazione, la data maturity e una serie di altri fattori che devono essere specificamente analizzati. Un esempio può essere iniziare ora un riesame del processo di selezione dei fornitori. E questo significa avere il vantaggio di un lasso di tempo ragionevole per svolgere questo tipo di attività, con maggiore resistenza alle pressioni distorsive (talvolta al limite, o oltre i limiti della normativa antitrust) che alcuni operatori di mercato hanno già attuato e potrebbero attuare di nuovo. Inoltre, si può anche tenere conto che alcune aziende potrebbero essere spinte a lavorare sull’offerta di alternative EU-based di qualità. E quando non c’è senso di urgenza, sarà possibile svolgere valutazioni e scelte maggiormente ponderate.

Certo, molto altro si può dire sulla ricerca di sovranità digitale da parte dell’Unione Europea e delle istanze di alcuni cittadini. Ma questo è al di fuori della possibilità di controllo da parte delle organizzazioni. Quindi tanto vale cercare di approfittare di questo periodo di quiete dopo la tempesta per decidere e consolidare le proprie strategie.

Beninteso, è possibile optare anche per un’accettazione del rischio. Basta che sia fatto in modo consapevole. E rendicontato, come accountability richiede.

Stefano Gazzella
Privacy Officer e Data Protection Officer, specializzato in advisoring legale per la compliance dei processi in ambito ICT Law. Formatore e trainer per la data protection e la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Giornalista pubblicista, fa divulgazione su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.