Skip to main content

Privacy Shield II: è ancora possibile in un mondo GDPR?

Con le recenti decisioni GDPR che fondamentalmente mettono fine al modo in cui le aziende trattano i dati come lo conosciamo, c'è ora una grande spinta per un migliore allineamento tra l'UE e gli Stati Uniti sulla privacy dei dati. Per molto tempo, le aziende e le altre istituzioni si sono sentite al sicuro sotto Safe Harbor e Privacy Shield, ma, quando i dati sono diventati più di una merce e la pratica di raccoglierli e venderli è diventata più lucrativa e invisibile, la gente ha iniziato a prendere nota. Ora, siamo al punto in cui abbiamo bisogno di nuovi accordi sulla privacy dei dati.

Tutti lo vogliono, ma come siamo arrivati qui e ci siamo vicini?

Cos'era il Privacy Shield?

Nell'ottobre 2015, la Corte di giustizia europea ha invalidato i principi internazionali di privacy Safe Harbor.

Safe Harbor, sviluppato tra il 1998 e il 2000, aveva lo scopo di impedire alle organizzazioni private di divulgare o perdere i dati personali dei cittadini europei e statunitensi. Dopo molti reclami, anche sui dati di Facebook, l'UE ha deciso che gli Stati Uniti e Safe Harbor non erano conformi alla direttiva europea sulla protezione dei dati.

Questa decisione Safe Harbor è nota anche come Schrems I. Nel tentativo di limitare gli impatti negativi dell'invalidazione di Safe Harbor, l'UE e gli USA hanno creato un nuovo quadro di dati, Privacy Shield, nel 2016.

Questo nuovo accordo avrebbe dovuto porre rimedio ad alcune delle mancanze di Safe Harbor, ma, secondo il Garante europeo della protezione dei dati (GEPD), c'erano ancora alcuni problemi relativi alla cancellazione dei dati, alla raccolta di massicce quantità di dati e al nuovo meccanismo dell'Ombudsperson. Indipendentemente da questi punti, la Commissione europea ha adottato il Privacy Shield nel luglio 2016.

Scudo per la privacy e Schrems II

I potenziali problemi individuati nel 2016, un panorama tecnologico che cambia drasticamente e i cambiamenti politici in entrambi i continenti, hanno portato alla caduta del Privacy Shield nel 2020.

L'attivista austriaco per la privacy, Max Schrems, ha sostenuto che l'accordo sui dati non ha fatto abbastanza per proteggere la privacy dei dati personali dei cittadini europei quando sono stati trasferiti negli Stati Uniti.

La questione principale che ha fatto cadere il quadro è stata la sorveglianza di massa degli Stati Uniti.

"IlPrivacy Sh ield non era la questione principale; la questione è che il Privacy Shield ha dovuto cedere alle leggi di sorveglianza degli Stati Uniti", ha detto Schrems.

Johnny Ryan, un senior fellow del Consiglio irlandese per le libertà civili, ha aggiunto che i problemi con Privacy Shield e Safe Harbor non hanno mai riguardato l'esame dei dati per motivi di sicurezza, ma più i processi trasparenti e le protezioni legali per i cittadini dell'UE. "Il punto cruciale è che un giudice può fornire a qualcuno che è fuori dagli Stati Uniti una salvaguardia legale, che possono avere i loro diritti rivendicati se i loro diritti vengono violati", ha detto Ryan. Senza queste protezioni in atto, e senza alcun modo reale di affrontare rapidamente queste preoccupazioni, il Privacy Shield è stato invalidato nel luglio 2020, in una decisione che ora è conosciuta come Schrems II.

Il futuro dello scudo per la privacy

Senza un quadro giuridico per l'elaborazione dei dati che circolano tra l'Europa e gli Stati Uniti, i paesi in tutta Europa hanno dichiarato illegali molti tipi di trasferimenti di dati: Austria e Google Analytics, Belgio e IAB, Francia e Google Analytics, ecc. A questo punto, molto probabilmente ce ne saranno altri da aggiungere alla lista.

Questi casi stanno rendendo la necessità di un sostituto dello scudo per la privacy ancora più importante - per i leader su entrambi i lati dell'Atlantico.

Per non parlare del fatto che molti paesi e agenzie dell'UE si stanno concentrando sulle pratiche dei dati delle grandi aziende tecnologiche, come Facebook, Microsoft, Amazon e Google.

Da quando il presidente Joe Biden è entrato in carica, sta lavorando su un sostituto, insieme al presidente della Commissione europea, Ursula von der Leyen, ma finora non c'è stato nulla da mostrare per questi incontri, tranne parole di ottimismo.

Alla riunione del Trade and Tech Council (TTC) nel settembre 2021, gli Stati Uniti hanno offerto un meccanismo di supervisione quasi giudiziaria sulle agenzie di sicurezza nazionale, al fine di ottenere un nuovo accordo firmato entro la fine dell'anno, ma l'accordo non è stato accettato. C'è la speranza che i recenti negoziati portino a un risultato migliore alla prossima riunione del TTC nel maggio 2022.

Molti sperano che entrambe le parti possano arrivare a un accordo che permetta alle agenzie di intelligence americane di continuare ad accedere ai dati delle persone, proteggendo allo stesso tempo i diritti dei cittadini europei.

Una soluzione potrebbe essere la creazione di un organo giudiziario indipendente che supervisionerà i reclami dei cittadini dell'UE che ritengono che le agenzie americane abbiano trattato illegalmente i loro dati.

I dettagli di questo piano - come qualcuno saprebbe anche solo fare un reclamo in primo luogo, e se reggerebbe anche in tribunale - sono ancora da vedere.

Ma una cosa è chiara, qualsiasi decisione venga presa, non sarà presa al Congresso - un fatto che potrebbe uccidere qualsiasi accordo prima ancora che inizi.

Dal momento che l'accordo politico e il progresso sono difficili da ottenere in questi giorni, qualsiasi cambiamento che viene fatto dovrebbe essere conforme alle norme e ai regolamenti statunitensi esistenti.

La maggior parte degli esperti concorda sul fatto che qualsiasi progresso significativo dovrebbe essere fatto attraverso modifiche legislative negli Stati Uniti che limitino il modo in cui le agenzie di sicurezza nazionale possono accedere ai dati dell'UE e diano ai cittadini dell'UE un modo chiaro e trasparente per contestare legalmente tale accesso nei tribunali.

Senza queste cose, quanto tempo passerà prima di avere uno Schrems III?