La Corte Ue salva il Data Privacy Framework, il nuovo quadro normativo per il trasferimento dei dati personali degli europei attraverso l’Atlantico per uso commerciale.
Era il 10 luglio 2023 quando la commissione europea aveva convalidato legalmente il terzo accordo transatlantico sul trasferimento dei dati, il Data Privacy Framework. Due precedenti accordi simili sono stati annullati dalla Corte europea di giustizia: Safe Harbor, nel 2015, e Privacy Shield, nel 2020, rispettivamente con le sentenze Schrems I e Schrems II. La Corte di giustizia dell’Unione europea (CGUE) aveva stabilito che questi ultimi non offrivano ai cittadini europei garanzie equivalenti a quelle del Gdpr, il Regolamento generale sulla protezione dei dati personali, in vigore nel Vecchio continente. In particolare, l’accesso ai dati europei da parte delle autorità e dei servizi di intelligence statunitensi era sproporzionato e non sufficientemente regolamentato.
I negoziatori su entrambe le sponde dell’Atlantico hanno quindi lavorato a un nuovo accordo per consentire alle aziende di trasferire i dati europei negli Stati Uniti con garanzie sufficienti contro le leggi statunitensi in materia di sorveglianza e sicurezza della privacy.
Il nuovo accordo propone di limitare l’accesso agli “obiettivi di sicurezza nazionale” e introduce un meccanismo di appello per i cittadini europei, sia a un funzionario dell’intelligence statunitense sia a un tribunale indipendente istituito dal Dipartimento di Giustizia degli Stati Uniti.
Mercoledì 9 settembre, il Tribunale dell’Unione europea ha confermato il patto che regola il trasferimento dei dati personali tra l’Unione europea a 27 e gli Stati Uniti, respingendo il ricorso di un parlamentare francese.
La sentenza garantirà certezza del diritto a migliaia di aziende, dalle banche alle aziende tecnologiche, dalle case farmaceutiche alle case automobilistiche, che trasferiscono dati personali attraverso l’Atlantico per scopi commerciali, come la gestione delle buste paga e l’infrastruttura cloud, osserva Reuters.
Tutti i dettagli.
L’ADOZIONE DEL DATA PRIVACY NETWORK NEL 2023
La Commissione europea, che nel 2023 ha negoziato l’accordo a nome dei 27 Stati membri, aveva sostenuto che il nuovo patto garantisce un livello adeguato di tutela dei dati personali trasferiti negli Stati Uniti. Entrato in vigore nello stesso anno, il patto Usa-Ue sulla privacy rappresenta quindi il terzo tentativo di dotare l’Ue di uno strumento giuridico stabile per regolare i flussi di dati transatlantici, dopo l’annullamento in tribunale dei due accordi precedenti.
LA DECISIONE DELLA CORTE UE
E ora il quadro normativo ha ricevuto il via libera della Corte di giustizia dell’Unione europea.
Il 9 settembre il Tribunale Ue ha respinto il ricorso del parlamentare francese Philippe Latombe, il quale sosteneva che l’accordo Ue-Usa Data Privacy Framework non rispettasse pienamente le norme europee sulla protezione dei dati, riporta Le Monde.
“In tal modo, esso conferma che, alla data di adozione della decisione impugnata, gli Stati Uniti d’America garantivano un livello adeguato di protezione dei dati personali trasferiti dall’Unione verso organizzazioni stabilite in tale paese” si legge nel comunicato stampa diffuso dalla Corte di Giustizia. “In passato, nelle sentenze Schrems I e Schrems II, la Corte ha annullato le due precedenti decisioni di adeguatezza relative agli Stati Uniti, in quanto non garantivano un livello di tutela delle libertà e dei diritti fondamentali sostanzialmente equivalente a quello garantito dal diritto dell’Unione” prosegue la nota, sottolineando che “il 7 ottobre 2022, gli Stati Uniti d’America hanno emanato un decreto presidenziale che ha rafforzato le misure di tutela della vita privata che disciplinano le attività svolte dalle agenzie di intelligence con sede negli Stati Uniti”.
Secondo il tribunale Ue, il decreto presidenziale Usa del 2022 “è stato completato da un regolamento del procuratore generale che ha modificato le disposizioni che disciplinano l’istituzione e il funzionamento della Data Protection Review Court (corte incaricata del controllo della protezione dei dati, Stati Uniti d’America; DPRC). Dopo aver esaminato tali sviluppi normativi negli Stati Uniti, la Commissione ha adottato la decisione impugnata, che istituisce il nuovo quadro transatlantico di flussi di dati personali tra l’Unione e gli Stati Uniti.”
Da qui la decisione di respingere il ricorso di annullamento presentato da Latombe.
IL RICORSO DEL PARLAMENTARE FRANCESE
Il parlamentare francese aveva citato in giudizio l’esecutivo dell’Ue, sostenendo che l’accordo non offriva garanzie adeguate in materia di rispetto della vita privata e familiare a causa della raccolta massiva e diffusa di dati personali.
Inoltre, Latombe ha criticato il nuovo organo di appello statunitense a cui gli europei potevano ricorrere, affermando che non era un tribunale indipendente e non offriva garanzie analoghe a quelle richieste dal diritto dell’Ue. Ha anche contestato il fatto che il patto non gli consentisse di impedire che i suoi dati personali fossero raccolti in Francia da aziende come Google, Apple, Facebook, Amazon o Microsoft, ricorda Reuters.
Condannandolo su tutti i capi d’imputazione, il Tribunale ha dichiarato di “respingere il ricorso nella sua interezza”.
