Di pari passo con l’avvincente e tortuosa “telenovela” post bocciatura del Privacy Shield, avanza anche una sorta di spin off di questo confronto EU vs USA che vede il Regno Unito protagonista. Sempre si tratta di trasferimento di dati, legato a privacy, sicurezza e diritti dei cittadini. Sempre si ha a che fare con un Paese oltreoceano in cui mancano leggi omogenee e che porta avanti una cultura sui diritti legati ai dati molto diversa da quella che si respira nel nostro continente. Sia che si faccia parte dell’Unione Europea, come l’Italia, sia che si sia deciso di uscirne, come il Regno Unito, appunto.
I dubbi dell’ICO che interrogano l’UE
È proprio questo “essere uscito” all’origine della necessità dell’estensione ad hoc del Data Bridge entrata poi ufficialmente in vigore lo scorso 12 ottobre. Un accordo dedicato che consente agli enti certificatori di trasferire facilmente i dati personali verso gli Stati Uniti anche dal Regno Unito. È un accordo che, seppur ufficialmente approvato, non lascia serene le autorità e i cittadini oltre Manica ed è importante capire cosa per loro non quadra, anche da chi lo guarda dall’esterno. Perché in fondo si tratta di vincoli, clausole, cavilli, sviste e paure molto simili a quelli che ancora aleggiano attorno al Data Protection Framework (DPF) UE-USA giudicato invece adeguato dalla Commissione Europea lo scorso luglio.
A settembre, infatti, il Regno Unito non ha che seguito a ruota l’Unione, decidendo, attraverso il Dipartimento per la scienza, l’innovazione e la tecnologia (DSIT), che i dati personali trasferiti dovevano essere trattati in conformità ai principi del DPF al momento della ricezione da parte dell’importatore statunitense.
Tutto sembrava molto semplice, sfruttando il lavoro fatto dall’UE, troppo semplice. Infatti, l’Information Commissioner’s Office (ICO), organo di controllo britannico sui dati, non è affatto convinto di quanto deciso e ha illustrato diverse perplessità “contagiose”. Alcune riguardano strettamente i britannici, altre possono essere di interesse anche per i cittadini europei.
Le critiche più “nazionali” e lampanti riguardano il fatto che la definizione di “dati sensibili” inserita nel Data Bridge non corrisponde a quella del GDPR britannico, che si basa sulla certezza che gli esportatori britannici identificheranno i dati biometrici, genetici, relativi all’orientamento sessuale e ai reati penali come “dati sensibili”, cosa su cui invece non si può far conto.
L’ICO ha poi però notato delle criticità che potrebbero inquietare anche chi abita in UE. Per esempio, ha il sospetto che i dati relativi a reati penali potrebbero essere meno protetti negli Stati Uniti perché non sempre lì si offrono tutele equivalenti a quelle previste nel Regno Unito o UE, compresa la possibilità di richiedere la cancellazione di tali dati. Un altro timore comune a UK e UE riguarda la privacy: gli individui potrebbero essere soggetti a decisioni basate esclusivamente su un trattamento automatizzato che comporterebbe effetti legali o similmente significativi per l’interessato. Mancherebbe anche un riferimento chiaro al “diritto all’oblio” o alla revoca del consenso.
Un futuro tutto da scrivere… di nuovo
Mentre l’Europa, stavolta da spettatrice, può riflettere sui dubbi alzati dall’ICO, le aziende britanniche, anche dopo l’ufficialità del 12 ottobre, non sempre mostrano di voler fare affidamento sul Data Bridge per i trasferimenti di dati personali verso gli Stati Uniti. Per ora esistono altre garanzie, come le Standard Contractual Clauses (SCC), ma non possono più essere utilizzate per nuovi accordi di trasferimento di dati dal Regno Unito, devono essere allegate all’Addendum britannico agli SCC dell’UE oppure gli esportatori di dati del Regno Unito devono utilizzare l’International Data Transfer Agreement (IDTA) del Regno Unito. Gli esportatori britannici devono inoltre effettuare una valutazione del rischio di trasferimento (TRA) prima di trasferire dati personali utilizzando le SCC, utilizzando lo strumento TRA dell’ICO o la guida pubblicata dall’European Data Protection Board (EDPB).
Insomma, la vita continua a non essere per nulla semplice, nei fatti, per chi vede il proprio business condizionato dalla fluidità del trasferimento di dati verso gli USA. Sia che partano dall’Unione, sia che partano dal Regno Unito. Resta la consapevolezza di due approcci, prima di tutto “culturali” diversi, che vedono i diritti dei cittadini sotto una diversa luce e da trattare e garantire con differenti priorità.
