Venerdì 7 Ottobre 2022 potrebbe essere ricordato come un giorno molto importante per i rapporti tra USA e UE: il presidente Joe Biden ha infatti firmato l’Executive Order che potrebbe risolvere l’impasse sul trattamento dei dati dei cittadini europei in territorio americano.

Le sentenze della CGUE – per tutte ricordiamo le sentenze che prendono il nome dall’attivista promotore Schrems – e le pronunce dei garanti privacy di vari stati europei – tra cui quello italiano, pronunciatosi contro alcuni utilizzi di Google Analytics3 contrastanti con le disposizioni del GDPR – hanno infatti stabilito con chiarezza che, sebbene il trattamento dei dati possa avvenire al di fuori dell’UE, i dati stessi devono comunque ricevere le tutele previste dalla legislazione europea.

Ebbene, il nuovo Executive Order dovrebbe prevedere due passaggi in avanti fondamentali per sbloccare lo stallo giuridico.

In primo luogo, procedure più rigorose per le intelligence, con un maggiore rispetto per gli interessati e per i loro diritti, che sostanzialmente renderebbero molto più difficile per le autorità statunitensi avere accesso alle informazioni dei cittadini europei.

In secondo luogo, un sistema di controllo dei dati e della loro tutela in sede giudiziale articolato su due livelli: il primo, sostanzialmente interno, dovrebbe consentire agli interessati di sottoporre un reclamo al funzionario per la protezione delle libertà civili che potrà, se lo riterrà, concedere anche un risarcimento; il secondo costituito da un tribunale composto da giudici esperti e nominati al di fuori degli USA per garantire un alto livello di imparzialità nelle decisioni in materia di privacy e trattamento dei dati.

Si tratta di una soluzione giuridica alla questione del trasferimento verso gli USA dei dati degli utenti europei, come auspicato a più riprese da autorevoli commentatori e anche su queste pagine, i cui esito dovrebbe far sì che non saranno più i garanti dei singoli paesi a doversi preoccupare di tutte le segnalazioni a loro rivolte, e di fatto sostituendosi ai legislatori.

Il prossimo passaggio per l’effettiva soluzione della vicenda prevede il coinvolgimento della Commissione europea che, ai sensi del regolamento GDPR, dovrà stilare una decisione di adeguatezza su quanto disposto dall’ Executive Order.

A seguire, la Commissione dovrà compiere dei passaggi con il Comitato europeo per la protezione dei dati e con i singoli stati membri; infine, la decisione della Commissione sarà pubblicata sulla Gazzetta ufficiale dell’Unione europea, si stima nella primavera 2023.

Qualora la decisione della Commissione europea fosse favorevole, il problema sarebbe sostanzialmente risolto e le aziende potrebbero riprendere a trasferire dati degli utenti europei negli USA.

Nel frattempo, dal momento che una nuova decisione di adeguatezza da parte della Commissione europea non è ancora stata raggiunta, la situazione rimane sostanzialmente invariata, con i problemi nell’utilizzo di Google Analytics e altri strumenti di data analysis rispetto ai contenuti del GDPR.

Da un punto di vista pratico è lecito attendersi indicazioni da parte dei Garanti dei singoli paesi dell’Unione Europea, dopo analisi dell’Executive Order, e a tutti gli utenti di software che trasferiscono dati degli utenti europei negli USA.

Da un punto di vista politico è invece interessante notare come la mossa non solo giuridica ma anche politica dell’UE abbia avuto successo, di fatto imponendosi sui comportamenti dei big tecnologici di oltre oceano, e stabilendo così un regime di tutela dei dati che si propone come standard per i diritti di tutti gli utenti digitali su scala globale.