23 anni di trasferimenti illegali di dati a causa di DPA inattive e nuovi accordi UE-USA
In due importanti sentenze del 2015 e del 2020, la Corte di giustizia dell'Unione europea (CGUE) ha dichiarato illegali i trasferimenti di dati tra UE e USA. Queste decisioni sono retroattive, il che significa che non esisteva alcuna base giuridica per tali trasferimenti tra il 2000 e il 2023. Ciononostante, la maggior parte delle aziende dell'UE ha continuato a utilizzare servizi come Google Analytics o gli strumenti di tracciamento di Meta, che comportano trasferimenti illegali di dati verso gli Stati Uniti. Una nuova analisi dei 101 reclami dinoyb in materia mostra ora come una combinazione di autorità di protezione dei dati inattive e nuovi accordi della Commissione europea abbiano portato a 23 anni di violazioni della privacy.
23 anni di trasferimenti illegali. La più alta corte europea ha inviato un messaggio forte per una migliore privacy dei dati, quando ha invalidato gli accordi sul trasferimento dei dati "Safe Harbor" e "Privacy Shield" rispettivamente nel 2015 e nel 2020. La logica conseguenza di questa decisione è stata che quasi tutti i trasferimenti tra l'Unione Europea e gli Stati Uniti dall'anno 2000 erano illegali. In realtà, però, le aziende non hanno interrotto questa pratica. Ciò è stato in gran parte possibile grazie all'inazione delle autorità europee per la protezione dei dati (DPA), che per lo più non hanno attuato le sentenze della CGUE. In combinazione con nuovi (e nulli) accordi, ci troviamo quindi a guardare indietro a 23 anni di trasferimenti illegali di dati.
Marco Blocher, avvocato specializzato in protezione dei dati presso la noyb: "Stiamo assistendo a un certo collasso dello Stato di diritto. La più alta corte europea ha dichiarato illegali i trasferimenti di dati degli ultimi 23 anni, ma le autorità si sono ampiamente voltate dall'altra parte"
Raccolta di polvere in un cassetto. Per garantire l'applicazione della legge, la noyb aveva presentato 101 denunce dopo che la CGUE aveva invalidato la decisione di adeguatezza "Privacy Shield" nel 2020. Nonostante questa sentenza abbia eliminato la base giuridica per il trasferimento dei dati, molti siti web ben visitati hanno continuato a trasmettere i dati dei loro visitatori ai server di Google e Meta negli Stati Uniti. Nonostante i reclami espliciti e il fatto che i continui trasferimenti costituissero una chiara violazione del GDPR, le autorità competenti per la protezione dei dati non hanno ancora preso una decisione su oltre il 70% dei reclami di noybfino ad oggi. il 18 agosto ricorre il terzo anniversario dei reclami.
Un'attesa infinita. La sentenza della CGUE ha di fatto garantito una chiara situazione legale per le autorità di protezione dei dati, che devono prendere una decisione relativamente rapida nei casi di trasferimento dei dati. L'ultima analisi di noybmostra, tuttavia, che 20 delle 32 autorità interessate (62,5%) non hanno emesso una decisione per un singolo reclamo che è stato presentato a loro. Anche le autorità più attive hanno impiegato molto più tempo di quanto previsto dalla legge. La prima delle attuali 13 decisioni proviene dal DSB austriaco. Ci sono voluti quasi 1 anno e mezzo per giungere a una decisione sul reclamo della noyb, nonostante i semplici fatti del caso e la chiara situazione giuridica.
Marco Blocher, avvocato per la protezione dei dati presso la noyb: "Circa due terzi di tutte le DPA a cui ci siamo rivolti non hanno preso una decisione in tre anni. Alcune sono addirittura impossibili da raggiungere e non forniscono alcun aggiornamento sullo stato dei reclami. È assurdo che in alcuni Stati membri anche casi così semplici non vengano applicati"
Un pessimo esempio. Ciò che rende la situazione ancora peggiore è che la Commissione irlandese per la protezione dei dati (DPC) - quindi l'autorità di controllo per Google e Meta - è una delle 20 DPA che non hanno ancora mosso un dito. Tutti e sei i reclami noyb presentati alla DPC sono ancora pendenti. Ma l'autorità non è la sola. Tra le altre, lo stesso vale per la DPA belga, olandese, greca, polacca, slovacca e ceca. L'analisi completa è riportata nel link sopra.
Nessuno osa emettere una multa. Ad oggi, sono in corso 73 cause. noyb ha vinto nove cause, ne ha vinte tre parzialmente e ne ha persa una. Ma anche le notizie positive fanno riflettere. Solo in un caso l'autorità competente (in Svezia) ha imposto una multa per l'uso illegale di Google Analytics: Il fornitore di telecomunicazioni Tele2 ha dovuto pagare un milione di euro, il rivenditore online CDON 25.000 euro. Si tratta di due multe su 101 casi.
Marco Blocher, avvocato specializzato in protezione dei dati presso la noyb: "Solo l'autorità svedese ha emesso una multa, tutte le altre autorità non hanno emesso una multa per un'evidente violazione del GDPR"
La Commissione europea ha superato le autorità di protezione dei dati. Per molti dei reclami rimanenti, a tre anni dalla presentazione, non è ancora chiaro se le autorità di protezione dei dati competenti raggiungeranno mai una decisione o se cercheranno semplicemente di non affrontare la questione. Nel frattempo, la Commissione UE e gli USA si sono messi al lavoro. A metà luglio di quest'anno hanno concordato un "nuovo" quadro transatlantico sulla privacy dei dati ("TADPF") che è in gran parte una copia del precedente. I cittadini dell'UE non godono ancora dei diritti costituzionali degli Stati Uniti, il che consente alle agenzie di intelligence come la NSA di utilizzare i loro dati a fini di sorveglianza. Allo stesso tempo, il nuovo quadro normativo offre alle autorità di protezione dei dati la possibilità di sospendere i procedimenti attivi in attesa di vedere se la CGUE invaliderà la decisione di adeguatezza per la terza volta.
Marco Blocher, avvocato specializzato in protezione dei dati presso la noyb: "In pratica abbiamo 23 anni di accordi di trasferimento illegali o di mancata applicazione. È incredibile che ogni persona normale riceva una multa se viola la legge, ma quando si tratta del GDPR non c'è alcuna conseguenza, anche dopo due sentenze della CGUE"
Le misure possibili non hanno portato a nulla. Dopo che la noyb ha presentato i suoi 101 reclami, per un breve periodo sembrava che ci fosse la speranza di una risoluzione tempestiva. L'EDPB ha persino istituito una "task force" informale per evitare una frammentazione della prassi decisionale. Purtroppo, ciò non ha portato a un approccio uniforme per fermare definitivamente i trasferimenti illegali di dati. Il problema di fondo delle aziende che non rispettano la legge europea sulla protezione dei dati persiste. La relazione finale della task force contiene solo dichiarazioni ovvie e di alto livello.
La terza volta è quella buona? Proprio come il "Safe Harbor" e il "Privacy Shield", il nuovo "TADPF" sarà prima o poi impugnato davanti alla CGUE, che ne valuterà la validità ai sensi del diritto dell'UE. Poiché i problemi fondamentali della legge sulla sorveglianza degli Stati Uniti persistono, è molto probabile che subisca il destino dei suoi predecessori e che venga dichiarato nullo con effetto retroattivo. La palla passerà di nuovo alle autorità di protezione dei dati. Alla fine, dovranno applicare la sentenza della CGUE. Considerate le loro prestazioni finora, le prospettive sono disastrose. noyb è pronta a sfruttare tutte le possibilità legali per garantire una decisione per i reclami pendenti e, se necessario, a presentare nuovi reclami per assicurarsi che le future sentenze della CGUE vengano rispettate.