Dal Safe Harbor al Privacy Shield, fino al Data Privacy Framework: cosa è cambiato?

Dal Safe Harbor (Porto Sicuro) al Data Privacy Framework – approvato il 10 luglio 2023 – passando per il Privacy Shield (Scudo per la Privacy). Tra regolamenti, definizioni e parole che chiariscono – anche nella loro traduzione – l’intenzione dell’Ue di proteggere i dati dei propri cittadini dalle regole troppo vaghe degli Stati Uniti, regolamentandone il trasferimento, abbiamo aggiunto un pezzo ulteriore al puzzle del trattamento dati cittadini Ue negli Stati Uniti. Come ci siamo arrivati? Dopo aver chiarito cosa prevede il nuovo testo del Data Privacy Framework, proviamo a ricapitolare in che modo siamo giunti a questo punto.

LEGGI ANCHE >>> Cosa prevede il nuovo testo del Data Privacy Framework

Trattamento dati cittadini Ue: l’inizio con il Safe Harbor

Il Safe Harbor è stato il primo accordo che ha permesso il trasferimento dei dati personali tra Usa e Stati Uniti. Dichiarato nullo dalla Corte di giustizia europea in data 6 ottobre 2015, la sentenza ha portato alla creazione del Privacy Shield Ue-Usa, un aggiornamento di questo primo accordo secondo regole più rigide dopo una serie di osservazioni e contestazioni arrivate un po’ da tutto il vecchio continente. Il Sage Harbor, l’accordo così come era all’inizio, era stato concepito per garantire un trasferimento dati da Ue a Usa conforme alla direttiva europea del 1995 e basato su sette principi chiave: la notifica all’interessato, che deve essere informato del fatto che i suoi dati vengono raccolti, su come verranno utilizzati e su come contattare il titolare del trattamento; la possibilità di scegliere, ovvero rinunciare al trattamento inoltrando i dati pertinenti a un’altra parte terza; il trasferimento dati a terze parti può avvenire solo se le parti soddisfano i principi di protezione dati; deve essere garantita la sicurezza dei dati da furti e fughe; i dati devono essere pertinenti allo scopo originale per il quale sono stati raccolti (integrità dei dati); all’interessato deve essere dato accesso per poter correggere o cancellare le informazioni; infine, devono esistere mezzi efficaci che permettano il rispetto e l’applicazione delle regole.

Che cosa non ha funzionato? L’attivista, avvocato e autore austriaco Max Schrems – diventato noto per le sue campagne contro Facebook e la sua violazione della privacy e per aver fondato NOYB (Centro europeo per i diritti digitali) – ha avviato una causa legale e, in seguito a questa, è stato stabilito come le leggi Usa per la protezione dei dati non fossero adeguate agli standard richiesti. Da qui la necessità di invalidare l’accordo, virando verso il più completo – ma non ancora sufficiente – Privacy Shield Ue-Usa.

Come è nato il Privacy Shield e cosa ha previsto

I problemi principali inquadrati dalla Corte di giustizia all’atto di invalidare il Safe Harbor sono stati l’accesso ai dati degli Usa, giudicato eccessivo – questo grazie alla fuga di notizie di Edward Snowden nel 2013 – e la mancanza di una procedura che permettesse ai cittadini europei di chiarire i propri dubbi e di esprimere le proprie preoccupazioni. Ed è stato questo l’approdo al Privacy Shield, in vigore dal 1° agosto 2016.

Cosa è cambiato? Non molto, ma innanzitutto i metodi di gestione del trasferimento dati e la natura stessa dei dati. Dai sette principi del Safe Harbor si è passati ai sette principi del Privacy Shield più la maggiore considerazioni di una serie di diritti individuali per i cittadini Ue, requisiti più severi per per le imprese Usa e limitazione dell’accesso ai dati personali da parte del governo statunitense. Oltre a questo, con il secondo accordo è stato reso necessario per le aziende che vogliono trasferire dati a terzi rispettare anche il principio di limitazione della finalità garantendo che la terza parte fornisca lo stesso livello di protezione del Privacy Shield dell’azienda originaria.

Un altra differenza fondamentale è stata la possibilità, per i cittadini Ue, di presentare dubbi e reclami in materia coinvolgendo l’organizzazione che ha commesso l’infrazione, le autorità europee per la protezione dati e un difensore civico e indipendente statunitense che gestisce i reclami dei cittadini. Oltre a tutto questo, qualora non bastasse, è stata anche data la possibilità di arrivare al Privacy Shield Panel.

Con un maggiore monitoraggio della conformità delle aziende, tra autorità Ue e Usa, e obblighi di comunicazione più severo, con il Privacy Shield c’è stato un tentativo di rispondere a tutte quelle preoccupazioni espresse dagli attivisti e validate dalla Corte di giustizia soprattutto in merito alla quantità di dati inviati in Usa e alla totale assenza di procedure per presentare reclami.

Ed eccoci giunti al Data Pivacy Framework, seppure con una serie di limiti a partire dal fatto che – almeno per ora – più che una soluzione definitiva sembrerebbe essere una soluzione temporanea (come abbiamo approfondito nell’articolo in cui spieghiamo cosa prevede il nuovo accordo).