Pillole
Una settimana di sentenze per il mondo della silicon valley, tanto in Europa quanto negli Usa. Nonostante Google prenda una multa da quasi 3 miliardi di dollari per abuso di posizione dominante, non si può lamentare: il "rischio" antitrust è scongiurato, e l'Unione Europea si mostra più tenera del solito.
Infatti nonostante negli Usa Google sia riconosciuto come monopolista nel settore delle ricerche sul Web, il giudice ha valutato di dare dei rimedi estremamente blandi, molto lontani da quelli paventati. Ricordiamo che si era parlato addirittura di obbligare Google a vendere Chrome.
Anche nell'Ue i giudici sono clementi. Il caso Latombe, che poteva diventare una sorta di Schrems III, non c'è stato: la corte ha dichiarato che il Data Protection Framework è valido, e che quindi la cessione di dati di cittadini Ue ad aziende Usa è legale. È un grosso passo indietro nel braccio di ferro interno all'unione europea tra organismi che spingevano per questa soluzione (la Commissione) e altri che andavano in senso opposto (la Corte di Giustizia). Difficile pensare che i recenti accordi sui dazi non c'entrino nulla.
Il Tribunale dell’Unione europea, con sentenza del 3 settembre, ha respinto il ricorso del deputato francese Philippe Latombe diretto ad annullare il nuovo quadro normativo per il trasferimento dei dati personali tra la UE e gli USA. Non si sono fatte attendere le prime reazioni alla sentenza.
Il team legale di Latombe ha scelto un ricorso piuttosto mirato e ristretto contro l'accordo sui dati UE-USA. Sembra che, nel complesso, il Tribunale non sia stato convinto dalle argomentazioni e dai punti sollevati da Latombe. Tuttavia, ciò non significa che un'altra contestazione, che contenga una serie più ampia di argomenti e problemi relativi all'accordo, non possa avere successo. Latombe potrebbe anche decidere di appellare la decisione alla CGUE, che (a giudicare dalle precedenti decisioni in "Schrems I" e "Schrems II") potrebbe avere un'opinione diversa da quella del Tribunale.
Max Schrems, fondatore di NOYB – European Center for Digital Rights, ha dichiarato: "Si è trattato di una sfida piuttosto ristretta. Siamo convinti che un esame più ampio della legge statunitense, in particolare dell'uso degli ordini esecutivi da parte dell'amministrazione Trump, produrrebbe un risultato diverso. Stiamo valutando le nostre opzioni per presentare tale ricorso". Sebbene la Commissione abbia guadagnato un altro anno, manca ancora la certezza del diritto per gli utenti e le imprese"
Il prossimo caso “Schrems III” del 3 settembre 2025 potrebbe invalidare l’EU–US Data Privacy Framework (DPF), interrompendo nuovamente i trasferimenti di dati tra l’Unione Europea e gli Stati Uniti e costringendo le imprese a ricorrere a soluzioni alternative come le Clausole Contrattuali Standard e le Transfer Impact Assessments.
Il 3 settembre 2025 la Corte di Giustizia dell’Unione Europea (CGUE) emetterà la propria sentenza nel caso Latombe vs Commissione Europea. In gioco c’è il futuro dell’EU–US Data Privacy Framework, la decisione di adeguatezza adottata nel luglio 2023 per ripristinare una base giuridica stabile ai flussi di dati transatlantici. Molti parlano già di questo scenario come di un “Schrems III”.
Il ricorso è stato presentato nel settembre 2023 da Philippe Latombe, deputato francese, che ha contestato direttamente la decisione di adeguatezza della Commissione ai sensi dell’articolo 263 TFUE.
Secondo Latombe, il DPF non garantirebbe una protezione “sostanzialmente equivalente” per i cittadini europei, come richiesto dall’articolo 45 GDPR e dalla Carta dei diritti fondamentali dell’UE.
Quali sono i principali argomenti del ricorso e quali i possibili scenari?
Dopo le rivelazioni di Snowden, sappiamo che gli Stati Uniti sono impegnati nella sorveglianza di massa degli utenti dell'UE, raccogliendo dati personali dalle Big Tech statunitensi. Il "Privacy and Civil Liberties Oversight Board" (PCLOB) è la principale autorità di controllo statunitense per queste leggi. I media statunitensi riportano orache i membri democratici del PCLOB sono stati rimossi e i loro account di posta elettronica sono stati chiusi. Questo porta il numero di membri nominati al di sotto della soglia necessaria per il funzionamento del PCLOB. Il fatto che il Presidente degli Stati Uniti abbia semplicemente rimosso delle persone da un'autorità (presumibilmente) indipendente, mette in dubbio l'indipendenza di tutti gli altri organi di ricorso esecutivo negli Stati Uniti.
L'Unione europea si è basata su queste commissioni e tribunali statunitensi per ritenere che gli Stati Uniti offrano una protezione "adeguata" dei dati personali. Basandosi sul PCLOB e su altri meccanismi, la Commissione europea permette ai dati personali europei di fluire liberamente verso gli Stati Uniti nel cosiddetto "Quadro transatlantico sulla privacy dei dati" (TADPF). Il PCLOB è l'unico elemento di "supervisione" rilevante dell'accordo. Gli altri elementi fungono solo da organi di ricorso. Migliaia di aziende, agenzie governative o scuole dell'UE fanno affidamento su queste disposizioni. Senza il TADPF, dovrebbero smettere immediatamente di utilizzare i fornitori di cloud statunitensi come Apple, Google, Microsoft o Amazon.
Il primo rapporto di revisione sul Data Privacy Framework (DPF), pubblicato dall’European Data Protection Board (EDPB) il 4 novembre 2024, segna una tappa decisiva nel monitoraggio della protezione dei dati personali dei cittadini europei trasferiti verso gli Stati Uniti.
Nato come risposta alla sentenza “Schrems II” della Corte di Giustizia dell’Unione Europea (CGUE), che nel 2020 aveva invalidato il Privacy Shield per carenze di tutela, il DPF cerca di rispondere alle esigenze di bilanciamento tra diritti individuali e interessi di sicurezza nazionale statunitensi, introducendo principi quali la necessità e la proporzionalità nelle operazioni di sorveglianza.
L’EDPB, tuttavia, osserva come le misure implementate dal DPF, sebbene migliorative, lascino aperte questioni rilevanti sulla reale equivalenza delle garanzie offerte rispetto a quelle europee.
In particolare, il report solleva dubbi riguardo alla trasparenza delle pratiche di raccolta dati e all’efficacia del meccanismo di ricorso, un sistema teoricamente aperto ai cittadini europei per ottenere rimedi in caso di violazione dei loro diritti.
Il deputato francese Philippe Latombe ha intentato una battaglia legale control il Data privacy framework, il nuovo patto Usa-Ue per lo scambio di dati su base transatlantica.
Latombe, membro del parlamento in patria, chiede di sospendere subito l’accordo e ha depositato la richiesta alla Corte di Giustizia Ue, aprendo la stura ad una valanga di ricorsi contro il nuovo accordo per la trasmissione dati fra le due sponde dell’Atlantico.
Critiche da ogni parte, anche in seno all’Europa. Schrems ha annunciato ricorso. Tutto ciò, inevitabilmente, solleva grossi dubbi riguardo alla consistenza e alla lunga durata di un accordo che è stato gestito in modo affrettato dalla Commissione e che potrebbe quindi essere impugnato e nuovamente invalidato dalla Corte di Giustizia
La recente approvazione da parte della Commissione Europea del “EU-US Data Privacy Framework”, accordo sul trasferimento dei dati tra l’Unione Europea e gli Stati Uniti, ha suscitato reazioni contrastanti e sollevato quesiti sulla sua autentica validità e capacità di garantire la protezione dei dati personali dei cittadini europei.
Tutte le critiche al Data Privacy Framework
Ricordiamo che secondo il comunicato stampa della Commissione europea, la decisione stabilisce che gli Stati Uniti garantiscono un livello di protezione adeguato – paragonabile a quello dell’Unione europea – per i dati personali trasferiti dall’UE alle società statunitensi nell’ambito del nuovo quadro normativo”.
Il parere di Max Schrems, watchdog delle politiche europee sul trattamento dati sul Data Privacy Framework, è impietoso
L’attività di monitoraggio di Max Schrems e del suo NOYB prosegue da tempo e il Data Privacy Framework non fa eccezione. Maximilian Schrems è noto, in particolar modo, per essere l’attivista avvocato che ha battagliato contro Facebook per i suoi numerosi atti di violazione della privacy – a partire dalle leggi europee sul trasferimento di dati personali alla NSA Usa. Una delle critiche maggiormente fatte a questo nuovo accordo, in sostanza, è quella di essere un Safe Harbor 3.0 o un Privacy Shield 2.0 – un copia-incolla degli accordi precedenti che, alla fine, non cambia le carte in tavola quanto dice di fare -. Considerate le criticità già individuate anche dall’EDPB (Comitato europeo per la Protezione dei Dati, composto dalle autorità garanti dei Paesi membri), tutto quello che abbiamo finora sembrerebbe essere il ritardo del blocco del trasferimento dati in Usa che porterebbe i cittadini Ue a non poter usare servizi come quelli forniti da Big Tech.
In vigore dall'11 luglio, dopo che i due precedenti trattati sono stanti invalidati. Per gli attivisti per i diritti digitali di Noyb però è una copia dei regolamenti precedenti e si preparano a fare ricorso
La Commissione europea ha adottato il nuovo accordo sul trasferimento dei dati tra l’Unione europea e gli Stati uniti. Il Data privacy framework arriva dopo l’annullamento degli accordi precedenti da parte della Corte di giustizia europea, a causa dell’assenza di tutele adeguate da parte degli Stati Uniti. Tuttavia, l’organizzazione per i diritti digitali Noyb si prepara a portare anche questo accordo davanti alla Corte, perché sembrerebbe una copia dei vecchi regolamenti.
[...]
L’accordo cerca poi di risolvere il problema dell’accesso incondizionato ai dati personali da parte delle agenzie di intelligence statunitensi, che nel quadro del nuovo framework dovrebbero avere solamente un accesso limitato e proporzionato a queste informazioni. Inoltre, istituisce un organo speciale, la Data protection review court (Dprc), a cui i cittadini europei potranno rivolgersi in caso di violazione delle nuove garanzie, che potrà ordinare la cancellazione dei dati ottenuti o trattati illegalmente.
Le critiche di Noyb
Il nuovo regolamento non ha convinto il gruppo per la difesa dei diritti digitali Noyb, guidato dall’attivista e avvocato Max Schrems. Per l’organizzazione, infatti, gli Stati Uniti attribuiranno alla parola “proporzionato” un significato diverso da quello della Corte di giustizia, così da assicurare alle agenzie di intelligence la possibilità di continuare a usare i dati personali europei più o meno come vogliono...
