Sommario
L’Unione Europea e gli Stati Uniti hanno raggiunto un accordo su un nuovo patto per la condivisione dei dati transatlantici. Secondo un annuncio della Commissione Europea, il nuovo quadro dovrebbe permettere alle informazioni di fluire liberamente tra le due località, riducendo i rischi per le aziende di social media che operano in entrambe.
Il contesto dell’accordo
La decisione arriva tre anni dopo che la Corte di Giustizia dell’UE ha annullato il Privacy Shield, un protocollo che permetteva alle aziende con sede negli Stati Uniti di raccogliere e trattare i dati dei cittadini dell’UE. All’epoca, la Corte ha affermato che il Privacy Shield non faceva abbastanza per tenere i dati degli utenti fuori dalle mani delle agenzie di intelligence statunitensi. Questo è stato un duro colpo per aziende come Meta e Amazon, dato che la raccolta di dati è una parte essenziale del loro business.
Le conseguenze dell’annullamento del Privacy Shield
Quando questa politica è stata annullata, ha lasciato le aziende a dover rispettare le politiche di trasferimento dei dati dell’UE. All’inizio di quest’anno, la Commissione per la Protezione dei Dati (DPC) dell’Irlanda ha colpito Meta con una multa record di 1,3 miliardi di dollari per i suoi trasferimenti di dati negli Stati Uniti, affermando che l’azienda non è riuscita a “affrontare i rischi per i diritti fondamentali e le libertà” dei cittadini dell’UE. Nel 2021, la Commissione Nazionale per la Protezione dei Dati del Lussemburgo ha inflitto ad Amazon una multa di 887 milioni di dollari per il suo trattamento dei dati dei residenti dell’UE.
Il nuovo quadro per la privacy dei dati UE-USA
Il nuovo quadro per la privacy dei dati UE-USA dovrebbe proteggere le aziende da multe simili, purché si impegnino a rispettarlo. Oltre a limitare la quantità di dati esteri a cui possono accedere le agenzie di intelligence statunitensi, il nuovo quadro istituisce una Corte di Revisione per la Protezione dei Dati (DPRC) che può “indagare e risolvere i reclami in modo indipendente” e ordinare la cancellazione dei dati.
La dichiarazione dell’esperto a Matrice Digitale
“La decisione di adeguatezza si attendeva da tempo e ha un sapore ovviamente politico perchè molti problemi rimangono irrisolti”. Così commenta a caldo l’avvocato Andrea Lisi, presidente di Anorc professioni, esperto di diritto digitale e Componente del Comitato di Esperti di comprovata esperienza e qualificazione in materia di innovazione tecnologica e transizione digitale della PA presso il Sottosegretariato alla Presidenza del Consiglio con delega all’innovazione tecnologica. La prima sensazione percepita dall’esperto è che “dopo la pioggia di TIA per adeguarsi in fretta e furia, molti titolari e responsabili vivranno questa decisione come una liberazione dalla “burocrazia privacy” e ciò potrebbe rivelarsi un pericolo altissimo per le nostre democrazie, messe ancora a dura prova in questi anni da una mercificazione delle nostre esistenze digitali. Possibile anche perchè indisturbata per così tanto tempo dagli organi preposti“.
C’è però anche un lato positivo da intravedere in questo accordo transatlantico perchè nell’ultimo periodo si è assistito a “una evoluzione positiva portata avanti da normative europee più avvedute che stanno entrando in vigore proprio in questi mesi e che vanno a completare la regolamentazione dei mercati digitali”. Un punto di partenza quindi dove bisogna proseguire avendo come interesse primario “trasparenza informativa (reale), accountability, privacy, security by design e by default. Ma se tutto questo non è accompagnato da una consapevolezza diffusa su nostri diritti e libertà fondamentali, le normative non saranno mai sufficienti”.
L’avvocato Lisi spera anche che si possa instaurare anche un dialogo risolutivo in favore dei cittadini europei senza “quel fastidio suscitato verso la materia da queste ultime battaglie un po’ talebane e ottuse da parte di alcuni, con la speranza che possano essere superate e si volti pagina verso politiche strategiche più mirate e consapevoli da parte di tutti”.
Obblighi di privacy per le aziende statunitensi
Le aziende statunitensi dovranno anche seguire un insieme di obblighi di privacy, tra cui l’obbligo di cancellare i dati personali “quando non sono più necessari per lo scopo per cui sono stati raccolti”. Devono inoltre garantire che queste salvaguardie siano in atto quando questi dati vengono condivisi con terze parti.
