Il 10 luglio 2023, dopo tre anni dall’invalidazione del Privacy Shield (a seguito della sentenza Schrems II della Corte di Giustizia dell’Unione Europea), la Commissione Europea ha adottato la decisione di adeguatezza del “Data Privacy Framework” (“DPF”) ovvero del nuovo accordo per il trasferimento dei dati personali dall’UE verso gli USA.
La decisione di adeguatezza rappresenta la conclusione di un lungo iter di approvazione del nuovo accordo politico tra Commissione Europea e Governo Statunitense riaprendo la possibilità per le aziende di utilizzare di nuovo quei servizi e quegli strumenti informatici localizzati negli Stati Uniti, legittimandone l’uso sulla nuova decisione di adeguatezza in forza della quale la Commissione UE ha riconosciuto che gli Stati Uniti garantiscono un adeguato livello di protezione dei dati personali equiparabile a quello dell’UE. Pertanto, al ricorrere di determinate condizioni (vedi infra) i dati personali raccolti dalle società in Europa possono essere trasferiti negli USA senza che sia necessario adottare ulteriori misure previste dal GDPR.
Data Privacy Framework e le nuove misure di salvaguardia dei dati personali
Gli impegni assunti dagli Stati Uniti a seguito dell’Ordine di Esecuzione emanato da Presidente Biden il 7 Ottobre 2022 al fine di attuare l’accordo ed introdurre garanzie e tutele per gli Interessati residenti nell’UE i cui dati personali siano trasferiti negli USA, si sostanziano in misure quali:
- Limitare l’accesso dell’intelligence statunitense ai dati personali esportati dall’UE a quanto necessario e proporzionato ai sensi della legislazione sulla sorveglianza.
In particolare, secondo quanto riportato nel DPF, le agenzie di intelligence statunitensi possono accedere ai dati personali ricevuti dalle società europee, esclusivamente per scopi di sicurezza nazionale, previsti dalla legge e, in particolare, in base al FISA o alle disposizioni di legge che autorizzano l’accesso tramite National Security Letters (“NSL”).
- Fornire alle persone diritti di ricorso in relazione al modo in cui i loro dati sono trattati a prescindere dalla nazionalità.
Secondo quanto riportato nel DPF è stato istituito il Data Protection Review Court (“DPRC”), vale a dire un tribunale a cui possono ricorrere i cittadini dell’UE per presentare reclami e richieste di risarcimento in caso di violazioni dei loro diritti in materia di protezione dei dati personali durante il trasferimento dei dati personali verso gli Stati Uniti. Laddove il DPRC rilevi una raccolta di dati personali in violazione della normativa in materia di protezione dei dati, nonché delle nuove disposizioni, potrà ordinare alle società statunitensi la cancellazione di tali dati personali;
- Per le aziende USA che aderiscono al DPF, impegnarsi a rispettare una serie di obblighi tra cui cancellare i dati personali quando non più necessari per la finalità per cui sono stati raccolti e garantire una tutela continuativa in caso di trasmissione dei dati a terzi;
- Garantire agli Interessati il diritto di accesso ai propri dati, di richiedere rettifiche o la cancellazione dei dati errati o trattati in modo non lecito.
- Trasferire i dati personali alle sole società statunitensi certificate.
L’adesione al DPF avviene sulla base di un meccanismo di autocertificazione mediante il quale le società statunitensi si impegnano a rispettare un insieme di principi sulla protezione dei dati personali individuati dall’U.S. Department of Commerce (“DoC”) e contenuti nell’Allegato I del DPF. Per ottenere la certificazione, che dovrà essere rinnovata una volta l’anno, le società dovranno fornire al DoC diverse informazioni (ad es. nome della società, descrizione delle finalità per le quali la società tratterà i dati personali, i dati personali che verranno trattati) e rendere disponibili le proprie policy inerenti alla privacy e implementarle.
Una società statunitense potrà ricevere i dati personali sulla base della decisione di adeguatezza soltanto dal giorno in cui viene inserita nell’elenco delle società certificate.
Le società certificate sono sottoposte ai poteri investigativi ed esecutivi del FTC (Federal Trade Commission), del DOT (Dipartimento dei trasporti degli Stati Uniti) e del DoC che effettua dei controlli a campione per verificare il rispetto di tali principi da parte delle società, pena la cancellazione dalla lista e conseguente restituzione da parte della società, dei dati personali ricevuti sulla base della decisione di adeguatezza.
Per le società statunitensi non certificate, il trasferimento dei dati personali dall’UE non potrà avvenire sulla base della decisione di adeguatezza ma dovranno essere attuati gli altri strumenti previsti dal GDPR. Sul punto è intervenuto l’EDPB con una nota informativa con la quale ha chiarito che i trasferimenti basati su decisioni di adeguatezza non necessitano di essere integrati da misure supplementari mentre per i trasferimenti verso le società americane non incluse nell’elenco previsto dal DPF sarà necessario adottare gli altri strumenti previsti dall’art. 46 GDPR (es. clausole contrattuali standard). Inoltre l’EDPB chiarisce che tutte le garanzie e le tutele messe in atto dal governo statunitense si applicano a tutti i trasferimenti verso gli Stati Uniti indipendentemente dal meccanismo a cui si fa ricorso.
Ricadute operative per le aziende
Le società europee che si trovano a dover trasferire dati personali verso gli USA dovranno:
- Verificare se il destinatario negli Stati Uniti ha aderito al DPF, consultando l’elenco nell’apposito sito web;
- Aggiornare la valutazione d’impatto ex art 35 GDPR per quanto attiene al trasferimento dei dati personali;
- Aggiornare il registro dei trattamenti ex art. 30 GDPR;
- Aggiornare le informative privacy rese agli interessati ex art 13 e 14 GDPR nell’apposita sezione dedicata al trasferimento dei dati personali extra UE;
- Informare e formare il personale rispetto alle novità normative e agli adempimenti da porre in essere al momento dell’affidamento di un servizio ad un provider ubicato negli USA;
- Verificare e aggiornare le nomine e i contratti in essere con i fornitori ubicati ubicato negli USA e/o aver concordato con gli stessi l’integrazione di clausole ad hoc comprendenti misure supplementari.
Contributo a cura dell’avv. Luisa Chianese