Il 13 dicembre, dopo alcune avvisaglie lanciate nelle ultime settimane, la Commissione Europea ha avviato il processo formale che porterà alla definitiva adozione di una decisione di adeguatezza – lo strumento previsto dall’art. 45 GDPR – per il trasferimento dei dati oltreoceano.
Dal luglio 2020 infatti, quando la Corte di Giustizia dell’Unione Europea si è pronunciata invalidando il Privacy Shield, i cittadini europei sono rimasti sprovvisti di uno strumento che legittimasse il trasferimento dei loro dati verso gli USA con le adeguate garanzie.
La bozza della decisione fa seguito all’ordine esecutivo firmato dal presidente degli Stati Uniti ad ottobre, che ha introdotto una serie di salvaguardie per i dati dei cittadini residenti dell’Unione grazie a forti limitazioni all’accesso di questi dati alle agenzie di intelligence americane.
E proprio l’assenza di queste garanzie era stata la prima causa di annullamento del Privacy Shield con la famosa sentenza “Schrems II”.
L’adozione di un quadro normativo in grado di disciplinare questi flussi di dati appare però necessaria: da un lato perché le principali società tech che operano in Europa hanno sede in USA e hanno continuato a ricevere i dati dall’UE, e dall’altro perché il raggiungimento di un accordo in questo senso consentirà alle piccole e medie imprese di beneficiare dei servizi offerti dalle big tech statunitensi senza esporsi al rischio di sanzioni dalle autorità garanti che solo le grandi aziende e le multinazionali possono mettere in preventivo.
Alla luce del contenuto della prima bozza di decisione di adeguatezza pubblicata, la Commissione ha ritenuto che sussistano le condizioni per garantire, anche in seguito alla valutazione dell’executive order statunitense, il rispetto degli elementi di equivalenza delle tutele e dei principi previsti dal GDPR.
Le stesse previsioni però, almeno sulla carta, dovevano già essere garantite dal Privacy Shield, e non si capisce bene perché non si siano firmate delle Standard Contractual Clauses prevedendo gli adeguati livelli di protezione dei dati europei negli USA, se fosse stato così semplice trovare un accordo.
Gli strumenti per garantire il trasferimento di dati tra entità e paesi differenti esistono, ma devono sostenere scelte e decisioni responsabili, anche e soprattutto da parte delle istituzioni.
Tutto ciò infatti non esclude che, una volta divenuto operativo, questo meccanismo possa essere nuovamente messo in discussione, come chiarito da NOYB, l’associazione per la protezione di cui proprio Max Schrems è presidente. E quale migliore occasione per le loro opinioni su questo tema se non il Bicocca Privacy Day 2023?