Il Data Privacy Framework segna una nuova era di collaborazione tra Unione Europea e Stati Uniti nella gestione e protezione dei dati. E in particolare quelli dei social media, delle applicazioni, del cloud e del Web, gestiti dai colossi tecnologici statunitensi presenti nel mercato europeo, come Meta, Alphabet, Apple, Amazon, Microsoft e Twitter. A distanza di tre anni dall’invalidamento del Privacy Shield, la Commissione Europea ha approvato di concerto con le autorità statunitensi un nuovo “patto transatlantico”, per così dire, che regola il possesso, il trasferimento e la conservazione dei dati degli utenti europei.
Tre anni fa il Privacy Shield era stato dichiarato giuridicamente nullo perché, a detta della Commissione, non tutelava abbastanza la privacy dei cittadini europei, consentendo alle agenzie di intelligence statunitensi di accedere ai loro dati nel caso facessero richiesta (costringendo di fatto le aziende a cedere). In seguito a una serie di negoziazioni, nel marzo del 2022 la presidente della Commissione Europea, Ursula von der Leyen, e il presidente Usa, Joe Biden, hanno siglato un accordo sui principi del nuovo patto, che tramite alcuni adeguamenti (un ordine esecutivo della Casa Bianca e nuove regole emesse dal Procuratore generale degli Stati Uniti d'America) sono stati poi incorporati nella legge statunitense.
“Il nuovo Data Privacy Framework”, ha dichiarato von der Leyen, “garantirà agli europei un flusso di dati sicuro e porterà certezza legale alle aziende di entrambe le sponde dell’Atlantico. In seguito all’accordo raggiunto tra me e il presidente Biden l’anno scorso, gli Stati Uniti hanno attuato un impegno senza precedenti per istituire il nuovo framework”.
Che cosa cambia con il Data Privacy Framework, rispetto al Privacy Shield? Innanzitutto balza all’occhio come dal concetto di “scudo”, che evoca la necessità di difendersi da qualcosa, si passi al concetto di framework, di cornice normativa. A detta della Commissione, il nuovo patto consentirà una libera circolazione dei dati tra Europa e Stati Uniti limitando i rischi per le aziende titolari di social media. Aziende che, dall’entrata in vigore del Gdpr in poi, sono state finora soggette a pesanti sanzioni in caso di violazioni.
L’esempio più eclatante è la multa da 1,2 miliardi di euro inflitta dal Data Protection Commissioner (Dpc) irlandese a Meta, colpevole di aver continuato a trasferire verso gli Usa i dati degli utenti Facebook registrati in Ue. Amazon, invece, nel 2021 in Lussemburgo è stata multata per 746 milioni di euro: la sua colpa, non aver richiesto in modo adeguato il consenso per la raccolta di dati per attività di profilazione.
Ora, con il Data Privacy Framework, le società di social media potranno ricominciare a trasferire dati dall’Unione Europea agli Usa senza per questo violare il Gdpr e rischiare salate multe. Tuttavia, nel farlo, dovranno rispettare alcuni obblighi di privacy, tra cui la cancellazione dei dati personali “quando non più necessari per lo scopo per i quali sono stati raccolti”. Inoltre dovranno adottare misure di sicurezza nella condivisione dei dati con terze parti. Nick Clegg, president of global affairs di Meta, ha accolto favorevolmente la novità, che a suo dire “tutelerà i beni e servizi su cui fanno affidamento persone e aziende di entrambe le sponde dell’Atlantico”.
Per quanto riguarda le possibili intrusioni da parte di agenzie di intelligence statunitensi, il framework limita l’accesso ai dati “per quel che è necessario e proporzionato”, e inoltre istituisce un nuovo organismo imparziale e indipendente, la Data Protection Review Court, deputato a investigare e risolvere le lamentele. Se, per esempio, la corte scopre che i dati sono stati raccolti senza le necessarie misure di sicurezza, allora può ordinare la loro cancellazione.