L’executive order del 7 ottobre 2022: cosa cambia nel trasferimento dei dati personali dall’europa agli stati uniti?

Per comprendere l’importanza della tappa rappresentata dall’adozione dell’Enhancing Safeguards for United States Signals Intelligence Activities Executive Order (Executive Order o EO) del 7 ottobre 2022, è importante dare uno sguardo alla situazione attuale, venutasi a creare a seguito della pronuncia della Corte di Giustizia Europea detta Schrems II.

Con la cosiddetta decisione Shrems II la Corte di Giustizia dell’Unione europea (CGUE), in data 16 luglio 2020 si è pronunciata in merito al regime di trasferimento dei dati personali tra l’Unione europea e gli Stati Uniti invalidando la decisione di adeguatezza del Privacy Shield, adottata nel 2016 dalla Commissione europea in seguito alla decadenza dell’accordo Safe Harbor.

La Corte ha ritenuto che i requisiti del diritto interno degli Stati Uniti in materia di protezione dei dati personali non presentassero garanzie equivalenti a quelle previsti dal diritto dell’UE questo in ragione del fatto che:

• negli USA sono attivi programmi che consentono alle autorità pubbliche degli Stati Uniti di accedere ai dati personali trasferiti dall’UE agli Stati Uniti ai fini della sicurezza nazionale;
• la legislazione non accordava ai soggetti interessati diritti azionabili in sede giudiziaria nei confronti delle autorità statunitensi.

Nel tempo successivo alla pronuncia Shrems II in mancanza di una decisione di adeguatezza ai sensi dell’art. 45 GDPR, il trasferimento dei dati personali dall’Europa agli Stati Uniti, per essere legittimo, è rimasto condizionato alla sussistenza delle condizioni di cui all’art. 46 GDPR (trasferimento soggetto a garanzie adeguate), di cui all’art. 47 GDPR (norme vincolanti di impresa) e di cui all’art. 49 GDPR (deroghe in specifiche situazioni), riducendosi in modo significativo il perimetro del legittimo trasferimento dei dati personali dall’Europa agli Stati Uniti.

L’ordine esecutivo dell’11 ottobre 2022 – che è frutto dell’accordo Biden-Von Der Leyen del marzo 2022 – rappresenta una tappa del percorso che dovrebbe portare, auspicabilmente, a ripristinare le condizioni per il legittimo trasferimento dei dati personali sotto l’egida di adeguatezza del sistema statunitense ex art. 45 GDPR.

E’ vero, infatti, che l’executive Order (almeno astrattamente) risponde ai due rilievi che sono stati sollevati dalla Corte di Giustizia Europea e che hanno portato all’invalidazione del Privacy Shield, introducendo due importanti garanzie:

• limitazione dell’operatività delle Agenzie di sorveglianza USA rispetto ai dati personali trasferiti dall’Europa agli Stati Uniti (rispetto dei principi di proporzionalità e necessità);
• possibilità, da parte degli interessati UE, di ricorrere ad appositi meccanismi di tutela in caso di violazioni in materia di dati personali (potrà essere presentato un reclamo al responsabile della protezione delle libertà civili (CLPO) istituito l’ufficio del direttore dell’intelligence nazionale; la decisione del CLPO potrà essere impugnata dinanzi agli istituendi tribunali di revisione della protezione dei dati)

Spetterà alla Commissione Europea valutare se, a seguito delle nuove regole introdotte attraverso l’Ordine Esecutivo e della concreta operatività delle stesse, il sistema potrà essere considerato adeguato secondo i criteri previsti dall’art. 45 GDPR. Il processo di adozione della valutazione di adeguatezza prevede diversi livelli, tra cui un processo di approvazione da parte di un comitato ristretto di rappresentanti degli Stati membri dell’UE e un diritto di controllo da parte del Parlamento europeo (detto processo dovrebbe concludersi nell’arco temporale di quattro o cinque mesi).

L’Executive Order è già stato definito, da alcuni, come una vera “rivoluzione” rispetto al passato in ragione del cambio di prospettiva e dell’introduzione nel sistema giuridico americano, di strumenti di tutela a vantaggio di cittadini non americani.

Avv. Anna Schiaffino
Avv. Laura Mariotti