Il 10 luglio 2023 la Commissione europea ha adottato una decisione di adeguatezza per il Data Privacy Framework, il nuovo quadro normativo in materia di trasferimento dei dati personali tra UE e Stati Uniti d’America.

La decisione di adeguatezza (adottata ai sensi dell’articolo 45, paragrafo 3, del GDPR, che conferisce alla Commissione il potere di decidere, mediante un atto di esecuzione, che un Paese non appartenente all’UE garantisce “un livello di protezione adeguato”) determina una base legale certa per il trasferimento dei dati personali dall’Unione Europea alle società statunitensi, che nel prossimo futuro aderiranno al Data Privacy Framework senza dover fornire ulteriori garanzie per la protezione dei dati.

Che cosa implica il trasferimento dati UE-USA

La decisione di adeguatezza adottata dalla Commissione UE introduce nuove garanzie vincolanti per rispondere ai rilievi della Corte di giustizia europea (sulla base dei quali erano stati invalidati i precedenti accordi sul trasferimento dei dati UE-USA), tra cui soprattutto la limitazione dell’accesso alle informazioni dell’Unione da parte dei servizi di intelligence statunitensi.

Questi ultimi non potranno più accedere in modo indiscriminato ai dati dei cittadini europei, ma dovranno limitarsi a quanto strettamente indispensabile, e operare secondo un criterio di proporzionalità.

Un’altra novità è l’istituzione di un tribunale per il riesame della protezione dei dati (Data Protection Review Court – DPRC), dotato del potere di indagare sui reclami dei cittadini UE, e volto anche a ottenere informazioni pertinenti dalle agenzie di intelligence, e a prendere decisioni correttive vincolanti.

Il tribunale potrà, ad esempio, ordinare la cancellazione dei dati qualora accertasse che gli stessi sono stati raccolti in violazione delle garanzie previste dal Data Privacy Framework.

Inoltre, le nuove garanzie in materia di accesso ai dati da parte dei governi integreranno gli obblighi che le aziende statunitensi che importano dati dall’UE dovranno sottoscrivere in vista della compliance al Digital Service Act, al Digital Markets Act, e all’AI Act.

Le nuove regole da rispettare

Alla luce della nuova decisione di adeguatezza per il trasferimento dei dati da UE a USA, le aziende statunitensi potranno aderire al Data Privacy Framework impegnandosi a rispettare una serie di obblighi.

In primo luogo, avranno il dovere di cancellare i dati personali in loro possesso quando non sono più necessari per lo scopo per il quale sono stati raccolti, e di garantire la continuità della protezione quando le informazioni sono condivise con terzi.

In generale, dovranno operare secondo le regole del GDPR, in termini di minimizzazione, “privacy by design” e “privacy by default”.

Per i cittadini europei sono inoltre previsti diversi strumenti di risoluzione delle controversie per il trattamento illecito dei dati, come meccanismi indipendenti e gratuiti e un collegio arbitrale.

Dal lato americano, invece, è prevista una serie di salvaguardie per quanto riguarda l’accesso ai dati trasferiti nell’ambito del quadro normativo da parte delle autorità pubbliche statunitensi per scopi di applicazione della legge penale e di sicurezza nazionale.

In particolare, l’accesso ai dati è limitato a quanto necessario, e proporzionato per proteggere la sicurezza interna: nulla, peraltro, che non sia già previsto anche in Unione Europea.

Si tratta solo di comprendere in quali termini verranno declinati i concetti di proporzionalità e di sicurezza nazionale oltreoceano.

Infine, è da segnalare che le garanzie messe in atto dagli Stati Uniti faciliteranno anche i flussi di dati transatlantici più in generale, poiché si applicano anche quando le informazioni vengono trasferite utilizzando altri strumenti, come le clausole contrattuali standard e le norme vincolanti d’impresa.

Il primo riesame del Data Privacy Framework avverrà entro un anno dalla sua entrata in vigore (luglio 2024), al fine di verificare che tutti gli elementi pertinenti siano stati pienamente attuati nel quadro giuridico statunitense, e funzionino efficacemente nella pratica.

Le opportunità per la scuola

L’entrata in vigore del Data Privacy Framework è indubbiamente una buona notizia, che facilita l’interscambio con gli Stati Uniti creando potenziali opportunità per tutti.

Non solo per migliaia di aziende private che per svolgere le loro attività necessitano di trasferire lecitamente dati personali negli USA, ma anche per le pubbliche amministrazioni, compresa la scuola.

Basti pensare a tutte le piattaforme educative che nel periodo pandemico hanno dato il via alla didattica digitale, e che sono poi state contestate (e in alcuni casi “bloccate”) perché non rispettavano la normativa per la tutela della privacy, proprio con riferimento al trasferimento transfrontaliero dei dati personali.

Era il 2020 quando si aprivano numerose contestazioni ai fornitori di servizi cloud USA da parte dei DPO, o anche da genitori e docenti preoccupati per l’uso dei dati dei minori.

Le argomentazioni a sfavore delle varie piattaforme educational riguardavano ad esempio “G Suite” di Google, “Office 365” di Microsoft, oltre che i servizi offerti da Amazon e da Apple.

Perché i servizi forniti dalle Big Tech americane erano visti come un pericolo per le scuole?

Principalmente per la libertà consentita dalla legislazione sulla sicurezza nazionale USA agli apparati di intelligence di esigere da qualsiasi azienda statunitense pieno accesso ai dati personali di americani e non americani, anche per i dati conservati al di fuori del territorio.

Il GDPR prevede invece che la raccolta e il trattamento siano esplicitamente definiti e limitati nello scopo e nel tempo, e che l’interessato possa reclamare, richiedere la correzione o la cancellazione dei dati, e opporsi al loro trattamento.

Gli USA, quindi, non risultavano garantire ai dati personali europei le stesse garanzie del GDPR.

Gli strumenti didattici digitali, usati sia a scuola che a casa, non solo introducono forme di apprendimento inclusivo e molte volte efficace, ma danno anche alla tecnologia un valore aggiunto. 

Questo valore crea anche una base per l’uso consapevole e responsabile di tutti quegli strumenti che non hanno una finalità didattica, ma che sono così ampiamente diffusi tra i giovani, come le piattaforme di social network o di gaming.

Considerazioni finali

Aprire una porta sicura al passaggio dei dati tra Europa e Stati Uniti crea presupposti positivi per diversi settori di sviluppo dei Paesi. 

Istruzione, cultura, economia ottengono in questo modo una spinta propulsiva che solo l’interscambio di informazioni su ampia scala può garantire.

Tuttavia ancora non è chiaro se questa nuova decisione di adeguatezza potrà reggere alla fase di riesame, o a eventuali future impugnazioni.

In tal senso, l’attivista austriaco Max Schrems, già autore dei ricorsi che hanno portato all’invalidazione dei precedenti accordi per il trasferimento dati tra UE e Stati Uniti (sentenze Schrems I e Schrems II), ha dichiarato di voler presentare ricorso alla Corte di giustizia dell’Unione Europea (CGUE) perché, a suo dire, quest’ultima decisione di adeguatezza sarebbe sostanzialmente identica alle precedenti due, poi annullate dalla CGUE.

Staremo a vedere, sperando che, in qualsiasi modo evolva la situazione, si riesca a trovare un solido bilanciamento tra sicurezza dei minori e processi di sviluppo per la loro crescita e per il loro futuro.