Con la recente risoluzione adottata l’11 maggio 2023, il Parlamento europeo ha votato contro il “Data Privacy Framework”, ossia il nuovo accordo che avrebbe dovuto disciplinare il trasferimento di dati personali dall’Unione Europea verso gli Stati Uniti. In particolare, già il 14 febbraio 2023 la Commissione per le libertà civili, la giustizia e gli affari interni del Parlamento europeo (Commissione LIBE) aveva esortato la Commissione europea a non concedere agli Stati Uniti una delibera di idoneità quanto al livello di protezione dei dati personali offerto dalla legislazione statunitense, poiché non ritenuto effettivamente equivalente rispetto a quello garantito nell’Unione Europea dal GDPR.
Il Data Privacy Framework non rappresenta il primo accordo tra l’Unione Europea e gli Stati Uniti con riferimento ai trasferimenti transfrontalieri di dati. Difatti, già il 26 luglio 2000 la Commissione europea, basando la propria decisione sul “Safe Harbor Framework”, aveva deliberato che gli Stati Uniti offrissero sufficienti garanzie di adeguatezza per la protezione dei dati. L’accordo suddetto comprendeva principi di protezione dei dati che le aziende statunitensi avrebbero dovuto rispettare per poter legittimamente effettuare trasferimenti di dati con l’Unione europea. Tale accordo, tuttavia, cessò a seguito di una sentenza della Corte di Giustizia Europea, che il 6 ottobre 2015 dichiarò invalida la decisione della Commissione sull’adeguatezza del “Safe Harbor Framework”.
Il secondo accordo, noto come il “Privacy Shield”, venne stipulato tra la Commissione europea e il Dipartimento del Commercio degli Stati Uniti il 12 luglio 2016, con lo scopo di garantire la riservatezza dei dati personali dei cittadini dell’Unione nel caso in cui fossero stati trasferiti negli Stati Uniti per scopi commerciali. Detto accordo obbligava le aziende statunitensi a proteggere i dati personali dei cittadini dell’Unione, rafforzando i poteri del Dipartimento del Commercio degli Stati Uniti e della Federal Trade Commission. Il nuovo accordo prevedeva, sostanzialmente, obblighi più severi per le imprese statunitensi che trattavano i dati dei cittadini europei, un maggior potere di vigilanza e controllo da parte del Dipartimento del Commercio, ma soprattutto l’istituzione di un Mediatore in caso di denuncia concernente l’accesso ai dati da parte delle autorità nazionali di Intelligence, garantendo così il diritto di proporre ricorso a tutti i cittadini dell’Unione ed alle stesse Autorità di protezione dei dati dei singoli Stati membri che avessero ritenuto violate le disposizioni dell’accordo stesso.
Il capitolo però si chiuse con la storica sentenza “Schrems II” del 16 luglio 2020: con tale decisione la Corte di Giustizia dell’Unione europea dichiarò invalido il “Privacy Shield” per due motivi: in primo luogo, i controlli di sorveglianza erogati dal governo statunitense non erano conformi alle disposizioni del GDPR e della Carta dei diritti fondamentali dell’Unione Europea; in secondo luogo, non era garantita un’effettiva indipendenza ed autonomia del Mediatore dal governo statunitense, situazione questa che avrebbe compromesso le decisioni dei reclami.
Il nuovo accordo tra le parti, il “Data Privacy Framework”, avrebbe dovuto vedere la luce in tempi molto brevi, anche per via dell’intensificarsi dei rapporti tra l’UE e gli Stati Uniti. Ciononostante, gli eurodeputati hanno espresso parere negativo in merito, ritenendo che il livello di protezione dei dati personali offerto dalla legislazione statunitense non risulti equivalente a quello garantito dal GDPR. Un’altra criticità ravvisata dal Parlamento europeo riguarda la segretezza delle decisioni del Tribunale appositamente istituito (“Data Protection Review Court” o “DPCR”), per le possibili violazioni del diritto dei cittadini di accesso ai propri dati e di rettifica degli stessi; in secondo luogo, il Parlamento ha sollevato delle perplessità anche con riferimento alla reale indipendenza del Tribunale suddetto, in quanto il presidente degli Stati Uniti avrebbe il potere di invalidare tali decisioni.
In buona sostanza, la problematica di maggior rilievo risulta essere la sostanziale divergenza normativa tra l’Unione Europea e gli Stati Uniti per quanto riguarda la protezione dei dati, anche perché questi ultimi devono ancora fare i conti con una legislazione sulla privacy piuttosto frammentata e, pertanto, tale da non poter garantire un livello di protezione uniforme in tutti gli Stati.
Certamente, quindi, la recente risoluzione del Parlamento europeo con riferimento al “Data Privacy Framework” evidenzia il chiaro intento dell’Unione di garantire elevati standard di protezione dei dati personali e dei diritti dei propri cittadini.