[Aggiornato il 12/05/2023]
Venerdì 7 Ottobre il presidente USA Joe Biden ha finalmente emanato il tanto atteso Executive Order.
Si tratta di un documento considerato dagli addetti ai lavori come un passo fondamentale verso la soluzione della vicenda legata al provvedimento italiano del Garante del 9 Giugno 2022, riguardante una specifica configurazione di GA3 (ossia, Google Universal Analytics) risalente al 2020.
Prima di tutto, è importante collocare l’Executive Order nella sequenza delle operazioni che potrebbero portare alla soluzione della questione sollevata dal provvedimento del Garante.
A questo scopo dobbiamo prima di tutto ricordare che:
- a scanso di equivoci, il destinatario del provvedimento del Garante italiano di Giugno 2022 non era Google Analytics 3 in quanto tale ma bensì il fatto che – con quella specifica configurazione di GA3 – il trasferimento di dati di utenti europei verso gli USA risultava illegittimo rispetto alla GDPR.
- Numerosi esperti in materia (tra cui l’avv. Guido Scorza, membro del Garante Italiano) avevano auspicato a più riprese una soluzione giuridica alla questione del trasferimento verso gli USA dei dati degli utenti europei; in questo contesto, diversi rumors davano come imminente l’emissione di un Executive Order da parte del presidente Biden.
L’Executive Order emanato il 7 ottobre 2022 è piuttosto articolato ed è al vaglio degli esperti di GDPR, di diritto di internet e di diritto internazionale.
Ciò premesso, ad un primo sguardo i contenuti dell’ Executive Order sembrano contenere almeno due punti essenziali.
A questo proposito, riportiamo di seguito un breve riassunto redatto dall’avv. Angela Lo Giudice dello studio legale Polimeni.legal sui contenuti dell’Executive Order:
“Il sistema delineato prevede:
- procedure più rigorose per le intelligence con un maggiore rispetto per gli interessati e per i loro diritti
- un sistema di controllo basato su due livelli. Il primo sostanzialmente interno consentirà agli interessati di sottoporre un reclamo al funzionario per la protezione delle libertà civili che potrà, se lo riterrà, concedere anche un risarcimento ed un secondo livello costituito da un tribunale composto da giudici esperti e nominati al di fuori degli USA per garantire un alto livello di imparzialità”.
Ora che l’Executive Order è stato emanato, la parola passa alla Commissione europea che – come prevede il GDPR – dovrà stilare una decisione di adeguatezza su questo Executive Order.
A seguire, la Commissione europea farà un passaggio con il Comitato europeo per la protezione dei dati e con i singoli stati membri; infine la decisione della Commissione sarà pubblicata sulla Gazzetta ufficiale dell’Unione europea.
Qualora la decisione della Commissione europea fosse favorevole, il problema del trasferimento dei dati degli utenti europei verso gli USA sarebbe sostanzialmente risolto: le aziende potrebbero riprendere a trasferire dati degli utenti negli USA.
A quel punto, come già accaduto in passato, la decisione potrebbe essere impugnata dai cittadini europei; è ragionevole aspettarsi che l’avvocato Maximilian Schrems, che ha già impugnato le precedenti decisioni di adeguatezza della Commissione Europea, con ogni probabilità si opporrà alla decisione con un’azione giuridica formale.
Tuttavia, visti i precedenti, è ragionevole ritenere che tutti gli attori in gioco evitino il ripetersi della situazione attuale, in cui sono i Garanti dei singoli paesi europei a doversi pronunciare sulla legittimità delle specifiche configurazioni di software che vengono loro segnalate come potenzialmente illegittime.
Riguardo le tempistiche di pubblicazione della decisione della Commissione sulla Gazzetta ufficiale dell’Unione europea, gli esperti parlano di fine 2022 / inizio 2023.
Nel frattempo, dal momento che una nuova decisione di adeguatezza da parte della Commissione europea non è ancora stata raggiunta, la situazione per le aziende e per gli utenti di GA4 rimane sostanzialmente invariata, così come le soluzioni tecniche che abbiamo illustrato nel corso “GA4 per la GDPR”.
Resta inteso che l’Executive Order è una novità significativa in questa vicenda. Di conseguenza, è ragionevole aspettarsi che, una volta analizzato nel dettaglio l’Executive Order, i Garanti dei singoli paesi dell’Unione Europea diano delle indicazioni alle aziende, agli utenti di GA4, e a tutti gli utenti di software che trasferiscono dati degli utenti europei negli USA.
L’EDPB è favorevole ma chiede chiarimenti riguardo il Data Privacy Framework tra Europa e Stati Uniti
Il 28 Febbraio scorso il Comitato europeo per la protezione dei dati (EDPB) ha adottato il suo parere sulla bozza di decisione di adeguatezza relativa al Data Privacy Framework UE-USA (ossia, l’accordo politico sul trasferimento dei dati tra Europa e Stati Uniti).
In breve, l’EDPB accoglie con favore i miglioramenti sostanziali apportati alle politiche in materia di Privacy da parte della presidenza USA, ma esprime preoccupazioni e chiede chiarimenti su diversi punti che concernono i diritti degli utenti europei.
Ora è il turno della Commissione europea che – come prevede il GDPR – dovrà stilare una decisione di adeguatezza sull’Executive Order pubblicato dal presidente USA Joe Biden il 7 Ottobre 2022.
A questo proposito, l’EDPB raccomanda alla Commissione europea di valutare e tenere in considerazione le proprie osservazioni condivise in merito alle politiche e alle procedure di miglioramento della bozza di decisione del Data Privacy Framework UE-USA.
Chiedi pure qui sotto, sarò pronto a risponderti!