Commissione Europea e Stati Uniti annunciano il raggiungimento di un’intesa preliminare per un nuovo Privacy Shield

di Luca Rinaldi

19 aprile 2022

La Commissione Europea e gli Stati Uniti d’America hanno diffuso, il 25 marzo 2022, un Joint Statement che annuncia il raggiungimento di un accordo politico di massima su un nuovo Trans-Atlantic Data Privacy Framework, al fine di fornire copertura giuridica ex art. 45 GDPR ai trasferimenti di dati personali tra i due ordinamenti.
È nota la storia travagliata dei precedenti tentativi, entrambi invalidati dalla Corte di Giustizia dell’UE perché reputati inidonei a sottoporre i trattamenti di dati di cittadini europei che avvengono negli USA a standard di tutela sostanzialmente equivalenti a quelli delle norme UE. In particolare, sia il c.d. Safe Harbour (sentenza Schrems I, 2015) che il c.d. Privacy Shield (sentenza Schrems II, 2020) sono stati considerati dai giudici europei una garanzia insufficiente di fronte alle norme statunitensi che attribuiscono alle autorità d’intelligence grande libertà d’accesso ai dati trasferiti dall’UE per finalità di sicurezza nazionale. Un controllo diffuso e non ancorato a rigidi parametri di proporzionalità, considerato incompatibile con la concezione eurounitaria di privacy.
La stipula di un nuovo accordo potrebbe porre fine alla situazione di grave incertezza sulle basi giuridiche idonee a legittimare il trasferimento di dati al di là dell’Atlantico generatasi con la pronuncia Schrems II. I principi enunciati nel comunicato congiunto del 25 marzo impegnano gli Stati Uniti a predisporre garanzie legali vincolanti, che limitino la possibilità di accesso ai dati personali di cittadini europei per finalità di intelligence in base a criteri di necessità e proporzionalità. Inoltre, dovranno essere predisposte vie di reclamo facilmente accessibili ai cittadini europei per questioni relative al trattamento dei loro dati personali sul territorio degli Stati Uniti, con possibilità di riesame.
L’iniziativa è stata accolta con favore dall’European Data Protection Board, che ha diffuso un proprio Statement in merito il 6 aprile 2022. L’Autorità ha richiesto alla Commissione di essere consultata prima della stipulazione definitiva di un’eventuale nuova intesa, specificando che l’accordo annunciato il 25 marzo è di carattere meramente politico e preliminare. Nel formulare tale richiesta, l’EDPB ha chiarito che valuterà attentamente i contenuti del nuovo Trans-Atlantic Data Privacy Framework facendo riferimento al diritto dell’Unione, alla giurisprudenza della Corte di Giustizia dell’UE e alle raccomandazioni elaborate dalla stessa Autorità.