Trasferimenti dati da Ue a Usa. Biden prova a metterci una pezza

Secondo Politico, la Casa Bianca dovrebbe pubblicare la prossima settimana l’ordine esecutivo per mitigare il giudizio di non adeguatezza al trasferimento di dati personali come Paese ricevente. 

L’invalidazione nel luglio 2020 da parte della giustizia europea dell’intesa “Privacy Shield” ha rappresentato una sorta di mini-chiusura del rubinetto dei dati degli europei verso gli Stati Uniti. Con un impatto economico negativo su tante aziende americane, che da quella storica sentenza hanno iniziato a ricevere un po’ meno dati dall’Ue. Il riferimento è ai provvedimenti di alcuni garanti europei nei confronti dei siti web che usano Google Analytics.

Il Garante Europeo per la Protezione dei Dati (EDPS) ha emesso un richiamo nei confronti del Parlamento Europeo perché, in un sito web per i test del COVID, ha violato la normativa GDPR inviando dati verso gli USA attraverso Google Analytics.

In Francia tutte le pubbliche amministrazioni hanno rimosso dai propri siti Google Analyticscome indicato dal Garante Privacy francese, il CNIL, secondo il quale “sono illegali i trasferimenti dei dati”del tool di Google.

Anche il Garante per la protezione dei dati in Austria ha prescritto ai siti web austriaci di rimuovere Google Analytics “in conformità con il GDPR”, sottolinea la Datenschutzbehörde (Dsb).

In Italia il Garante ha estratto il cartellino giallo nei confronti di anche per Fastweb e ilMeteo.it, dopo Caffeina Media, per aver utilizzato Google Analytics (GA) sui rispettivi siti web. È illecito il trattamento dei dati personali degli utenti dei siti web attraverso GA, perché, scrive il Garante nei provvedimenti di ammonimento nei confronti delle tre società, comporta il trasferimento dei dati personali dei visitatori a Google con sede negli Stati Uniti e si tratta di trasferimenti effettuati verso un Paese terzo che non garantisce un livello di protezione adeguato.

Il diritto interno degli Stati Uniti (in particolare l’Executive Order 12333 e l’art. 702 del Foreign Intelligence Surveillance Act – FISA) consente alle autorità pubbliche USA di accedere ai dati personali degli italiani e europei raccolti non solo Google Analytics, ma anche attraverso tutti i provider di servizi di comunicazione elettronica statunitensi (in primis Big Tech).

Ora il presidente Joe Biden, per mitigare il giudizio di non adeguata protezione al trasferimento di dati personali come Paese ricevente, la prossima settimana, firmerà, secondo POLITICO, un nuovo ordine esecutivo per sostituire il n.12333. Con quali novità? Le agenzie Usa, nelle loro attività di sorveglianza per motivi di sicurezza nazionale, potrebbero accedere ai dati degli europei solo se “necessario e in modo proporzionato”. Quindi, il nuovo ordine esecutivo di Biden introdurrebbe dei limiti all’accesso dei dati che provengono dall’Ue da parte delle agenzie di intelligence. L’UE può solo prenderne atto e i titolari, con i loro DPO, aggiornare le TIA (Transfer Impact Assessment).

“Da una parte ci spero, anche perché arriverebbe poco prima delle elezioni di mid-term e quindi come mossa politica. Dall’altra mi rendo conto”, spiega Filippo Bianchini,consulente data protection e DPO, “che non si è capito come questo ordine esecutivo non sia l’accordo transatlantico, che arriverà forse in primavera, ma l’evoluzione di quello 12333 che era stato oggetto di censura in punto di mancanza di garanzie adeguate”. 

Infatti, l’ordine esecutivo sarà solo una misura lato USA, mentre l’accordo transatlantico proseguirà comunque il cammino come bilaterale. A marzo scorso, il presidente degli Stati Uniti d’America Joe Biden e la presidente della Commissione Europea Ursula von der Leyen hanno annunciato l’accordo politico a trovare un nuovo testo comune per definire il nuovo quadro per i flussi di dati transatlantici dal titolo “Trans-Atlantic Data Privacy Framework”.

“Di fatto è una speranza per le imprese e le istituzioni, se fosse confermato quanto indicato nell’articolo di POLITICO, già a primavera prossima, avere il nuovo Privacy Shield”, commenta Vincenzo Colaroccoalla guida del Dipartimento compliance, Media e Tecnologia Studio Previti Ass.ne Professionale. “Tuttavia”, aggiunge, “non avendo ancora il testo sottomano non è possibile esprimere giudizi, ma affinché si arrivi a una tutela concreta dovrebbero esser tassativamente previste le ipotesi in cui le autorità americane possano conoscere i dati personali”. “Resta aperta”, conclude Colarocco, “anche la possibilità di istituire un’autorità indipendente in materia di data protection o almeno che verifichi e controlli l’accesso della sicurezza nazionale degli Stati Uniti ai dati europei”.

Fonte: Key4biz | di Luigi Garofalo

© 2017-2018 Associazione Privacy Italia - C.F. 91039930192 - P. Iva 01685370197 - Informativa Privacy

Con il sostegno di:

Fondazione di Sardegna Fondazione Cariplo
Positive SSL