6 mesi di "accordo di principio", l'accordo UE-USA di fatto ancora non c'è

Set 25, 2022

Mezzo anno di annunci politici, ma nessun accordo sui trasferimenti di dati UE-USA.

Il 25 marzo 2022, sulla scia della guerra in Ucraina, il presidente degli Stati Uniti Joe Biden e la presidente della Commissione europea Ursula von der Leyen hanno annunciato un "accordo di principio" sui trasferimenti di dati tra l'UE e gli Stati Uniti, nonostante due sentenze della Corte di giustizia (CGUE) abbiano annullato i precedenti accordi "Safe Harbor" e "Privacy Shield".

L'accordo politico si scontra con la realtà giuridica. Nonostante le varie promesse contenute nell'annuncio originale, nelle colorate schede informative europee (PDF) e nelle schede informative statunitensi in bianco e nero (link), negli ultimi sei mesi non è stato pubblicato alcun risultato tangibile. Al contrario, si sono diffuse voci secondo cui gli Stati Uniti non forniranno l'acclamato "Tribunale per la revisione della protezione dei dati", ma al massimo una qualche forma di tribunale esecutivo, simile al precedente Ombudsperson del Privacy Shield, già respinto dalla CGUE. Allo stesso modo, si dice che gli Stati Uniti si rimangino la promessa di limitare la sorveglianza di massa a ciò che è"necessario e proporzionato". Al contrario, gli Stati Uniti introdurranno un linguaggio ancora più debole, che consentirà di continuare le pratiche di sorveglianza di massa già respinte dalla CGUE.

Max Schrems, ricorrente nelle cause "Schrems I" e "Schrems II" e presidente di noyb.eu:"Inizialmente ci era stata promessa una soluzione perfetta entro la fine dell'anno. Ora potremmo vedere i primi passi entro la fine dell'anno. Quello che sento dire è che questi primi passi non sono soluzioni, ma passi verso un terzo accordo imperfetto. È sorprendente che due democrazie che concordano su principi come l'approvazione giudiziaria della sorveglianza non riescano a raggiungere un accordo adeguato. Sembra che gli Stati Uniti sostengano ancora l'idea che le persone non statunitensi non debbano avere diritti fondamentali."

Le imprese dell'UE e degli USA continuano a violare la legge. Mentre la politica non risolve i problemi in questione, le aziende dell'UE e degli USA si trovano a dover affrontare la situazione. Mentre alcune passano gradualmente a fornitori che non rientrano nelle leggi sulla sorveglianza degli Stati Uniti, molte continuano a violare il GDPR, sperando che un nuovo accordo ponga rimedio alla situazione. Le 101 denunce modello della noyb sui trasferimenti di dati tra l'UE e gli Stati Uniti hanno portato a qualche risultato nel frattempo, dato che le autorità di protezione dei dati austriache, danesi, francesi, italiane o europee hanno emesso decisioni in base alle quali Google Analytics non può più essere utilizzato nell'UE

Max Schrems:"Sono passati due anni dalla seconda sentenza della CGUE. Sebbene alcune autorità per la protezione dei dati abbiano intrapreso azioni individuali sulla base di reclami, mancano ancora il rispetto generale della legge e un'adeguata applicazione. Il nuovo accordo annunciato è uno dei fattori che attualmente raffreddano le azioni di applicazione"

Il nuovo accordo tornerà probabilmente alla CGUE Se il nuovo quadro normativo sul trasferimento dei dati tra UE e USA non garantisce un'adeguata protezione della privacy degli utenti, il nuovo accordo sarà probabilmente rinviato alla CGUE un'altra volta e vedrà un'altra sentenza chiara. Sarebbe un peccato se l'attuale incertezza giuridica, creata dalla Commissione europea e dal governo degli Stati Uniti, continuasse con un nuovo accordo sul trasferimento dei dati.