Approvato il Data Privacy Framework per il trasferimento di dati personali verso gli Stati Uniti

Approvato il Data Privacy Framework per il trasferimento di dati personali verso gli Stati Uniti

Introduzione

A seguito della decisione della Corte di giustizia che ha invalidato il Privacy Shield[1], si è creato un vulnus normativo rispetto alle garanzie adeguate da utilizzare in relazione al trasferimento di dati personali verso gli USA. Aspetto senz’altro rilevante se si considera che le più importanti big tech operanti hanno la propria sede negli USA.

Pertanto, in questo panorama di incertezza normativo durato quasi tre anni, il trasferimento dei dati personali verso gli USA poteva essere realizzato solo sulla base di altre garanzie adeguate diverse dalla decisione di adeguatezza, quali le clausole contrattuali standard, previa valutazione di impatto del trasferimento (c.d. TIA) e l’implementazione di misure supplementari, quali la cifratura a riposo e in transito.

Tuttavia, come dimostrato dalle diverse sanzioni inflitte a Meta o ad altre società che utilizzavano i servizi di Google Analytics, il trasferimento verso gli USA non poteva che risultare illecito stante la non adeguatezza degli USA dovuta alla pervasività della normativa sulla sicurezza nazionale.

Ciò nonostante, dopo un lungo periodo di stallo, il 10 luglio la Commissione europea ha adottato la decisione di adeguatezza[2] per il Data Privacy Framework (i.e. quadro UE-USA sulla protezione dei dati personali, “DPF”) con la quale ha stabilito che gli Stati Uniti garantiscono un livello di protezione adeguato – rispetto a quello dell’UE – per i dati personali trasferiti dall’UE alle società statunitensi che partecipano al DPF.

La decisione di adeguatezza fa seguito alla firma da parte degli Stati Uniti di un ordine esecutivo “Enhancing Safeguards for United States Signals Intelligence Activities”, che ha introdotto nuove garanzie vincolanti per affrontare le criticità evidenziate dalla Corte di giustizia dell’Unione europea nella sua decisione Schrems II del luglio 2020. In particolare, i nuovi obblighi sono volti a garantire che le agenzie di intelligence statunitensi possano accedere ai dati solo nella misura necessaria e proporzionata e a istituire un meccanismo di ricorso indipendente e imparziale per gestire e risolvere i reclami dei cittadini europei relativi alla raccolta dei loro dati personali per finalità di sicurezza nazionale.

 

Decisione di adeguatezza della Commissione UE

Nella sua decisione di adeguatezza, la Commissione ha valutato attentamente i requisiti che derivano dal DPF, nonché le limitazioni e le garanzie che si applicano quando i dati personali trasferiti negli Stati Uniti sono accessibili alle autorità pubbliche statunitensi, in particolare per finalità di applicazione della legge penale e di sicurezza nazionale.

Su questa base, la decisione di adeguatezza conclude che gli Stati Uniti garantiscono un livello adeguato di protezione dei dati personali trasferiti dall’UE alle aziende che partecipano al DPF. Con l’adozione della decisione di adeguatezza, le società europee sono in grado di trasferire dati personali alle aziende partecipanti negli Stati Uniti, senza dover mettere in atto ulteriori garanzie di protezione dei dati.

Un elemento essenziale del quadro giuridico statunitense su cui si basa la decisione di adeguatezza riguarda l’Ordine Esecutivo on “Enhancing Safeguards for United States Signals Intelligence Activities”[3], firmato dal Presidente Biden il 7 ottobre e accompagnato da regolamenti adottati dal Procuratore Generale. Questi strumenti sono stati adottati per affrontare le questioni sollevate dalla Corte di giustizia nella sentenza Schrems II.

Per i cittadini europei i cui dati personali sono trasferiti negli Stati Uniti, l’ordine esecutivo prevede:

• garanzie vincolanti che limitano l’accesso ai dati da parte delle autorità di intelligence statunitensi a quanto necessario e proporzionato per proteggere la sicurezza nazionale;
• una maggiore supervisione delle attività dei servizi di intelligence statunitensi per garantire il rispetto delle limitazioni alle attività di sorveglianza; e
• l’istituzione di un meccanismo di ricorso indipendente e imparziale, che comprende un nuovo tribunale per la revisione della protezione dei dati per indagare e risolvere i reclami relativi all’accesso ai propri dati da parte delle autorità di sicurezza nazionali statunitensi.

 

Data Privacy Framework

Il DPF fornisce ai soggetti interessati europei i cui dati personali saranno trasferiti alle società partecipanti negli Stati Uniti diversi e nuovi diritti (tra cui, a titolo esemplificativo, ottenere l’accesso ai propri dati personali o la correzione o la cancellazione di dati personali errati o trattati illecitamente). Inoltre, offre diverse vie di ricorso nel caso in cui i dati personali siano trattati in modo scorretto, tra cui meccanismi indipendenti e gratuiti di risoluzione delle controversie e un collegio arbitrale.

Le aziende statunitensi possono certificare la loro partecipazione al DPF impegnandosi a rispettare una serie dettagliata di obblighi in materia di protezione dei dati personali tra i quali, la limitazione delle finalità, la minimizzazione dei dati e la conservazione dei dati, nonché obblighi specifici relativi alla sicurezza dei dati e alla condivisione dei dati con terze parti.

Il DPF sarà gestito dal Dipartimento del Commercio degli Stati Uniti, che elaborerà le richieste di certificazione e controllerà se le aziende partecipanti continuano a soddisfare i requisiti di certificazione. La Federal Trade Commission vigilerà sul rispetto da parte delle aziende statunitensi degli obblighi previsti dal DPF.

Nota informativa dell’EDPB a seguito della decisione di adeguatezza[4]

Il Comitato Europeo sulla protezione dei dati personali (“EDPB”) ha pubblicata una nota informativa volta a fornire chiarimenti sul trasferimento dei dati personali verso gli Stati Uniti, a seguito della decisione di adeguatezza.

La decisione di adeguatezza si applica dal 10 luglio 2023. Ciò significa che, a partire da questa data, i trasferimenti dall’UE a organizzazioni negli Stati Uniti incluse nell’”elenco del DPF” (c.d. Data Privacy Framework List) possono essere basati sulla decisione di adeguatezza, senza dover ricorrere agli altri strumenti di trasferimento previsti dall’articolo 46 del GDPR.

Ciò significa anche che i trasferimenti basati sulla decisione di adeguatezza non devono essere integrati da misure supplementari.

I trasferimenti di dati personali verso società negli Stati Uniti che non sono incluse nell’elenco del DPF non possono essere basati sulla decisione di adeguatezza e richiederanno adeguate garanzie di protezione dei dati personali previste dagli articoli 46 e ss. Del GDPR (e.g. clausole contrattuali standard, norme vincolanti d’impresa) nonché diritti applicabili e rimedi legali efficaci per i soggetti interessati.

A questo proposito, l’EDPB sottolinea che tutte le salvaguardie messe in atto dal governo degli Stati Uniti nel settore della sicurezza nazionale (ad es. il meccanismo di ricorso) si applicano a tutti i dati personali trasferiti negli Stati Uniti, indipendentemente dallo strumento di trasferimento utilizzato. Pertanto, nel valutare l’efficacia dello strumento di trasferimento scelto ai sensi dell’articolo 46 del GDPR, nell’ambito della TIA (i.e. transfer impact assessment) gli esportatori di dati dovranno tenere in considerazione la valutazione condotta dalla Commissione nella decisione di adeguatezza.

Le persone i cui dati sono trasferiti negli Stati Uniti sulla base della decisione di adeguatezza hanno a disposizione diversi meccanismi di ricorso se ritengono che l’organizzazione/società statunitense in questione non sia conforme al DPF.

Indipendentemente dallo strumento di trasferimento utilizzato per trasferire i propri dati personali negli Stati Uniti, gli interessati nell’UE possono presentare un reclamo all’autorità nazionale di protezione dei dati per avvalersi del nuovo meccanismo di ricorso nel settore della sicurezza nazionale. L’autorità nazionale per la protezione dei dati, a sua volta, assicurerà che il reclamo venga notificato all’EDPB, che lo trasmetterà alle autorità statunitensi competenti per la gestione del reclamo. Inoltre, l’autorità di protezione dei dati personali competenti garantirà che all’interessato vengano fornite informazioni sul processo di gestione del reclamo, anche per quanto riguarda l’esito del reclamo presentato. Affinché un reclamo sia ammissibile, i soggetti interessati non devono dimostrare che i loro dati personali sono stati effettivamente raccolti dalle agenzie di intelligence statunitensi.

I soggetti interessati nell’UE avranno accesso a un meccanismo di ricorso indipendente e imparziale riguardante la raccolta e l’utilizzo dei loro dati personali da parte delle agenzie di intelligence statunitensi, che include, l’ex novo, Tribunale di Revisione sulla Protezione dei Dati (DPRC). Il Tribunale indagherà e risolverà in modo indipendente i reclami, compresa l’adozione di misure correttive vincolanti.

 

Conclusioni

Il primo riesame della decisione sull’adeguatezza avrà luogo un anno dopo la sua entrata in vigore, ossia nel 2024, per verificare se tutti gli elementi stabiliti dalla Commissione Europea siano stati pienamente attuati ed efficaci nella pratica. A seguito del primo riesame, in base al suo esito, la Commissione deciderà, in previa consultazione dell’EDPB e degli Stati membri dell’UE, la periodicità delle revisioni successive, che si svolgeranno in ogni caso almeno ogni quattro anni.

Si ricorda che le decisioni di adeguatezza possono essere adattate o addirittura revocate in caso di sviluppi che incidano sul livello di protezione nel Paese terzo.

Proprio alla luce di ciò, e del fatto che Max Schrems[5] ha dichiarato che farà ricorso in quanto la decisione di adeguatezza non sarebbe che una mera copia delle altre già invalidate dalla Corte di Giustizia, si suggerisce alle società di seguire attentamente gli sviluppi.

In particolare, occorrerà tenere in considerazione i seguenti scenari:

1) Un attuale partecipante al Privacy Shield che si sta convertendo al DPF:

L’organizzazione ricevente deve aggiornare la propria informativa sulla privacy entro e non oltre il 10 ottobre 2023, in modo da riflettere la conformità con il DPF e basare il trasferimento dei dati personali alla decisione di adeguatezza dell’UE. Entro il suddetto termine, l’organizzazione dovrà convertirsi al DPF o ritirarsi.

L’attuale partecipazione dell’organizzazione statunitense al DPF è verificabile al seguente link https://www.dataprivacyframework.gov/s/participant-search

2) Un nuovo partecipante al DPF:

Le organizzazioni statunitensi idonee possono presentare le domande di autocertificazione sul nuovo sito web del DPF al seguente link https://www.dataprivacyframework.gov/s/ . Solo dopo l’approvazione del Dipartimento del Commercio potranno fare affidamento sulla decisione di adeguatezza dell’UE.

3) Un’entità statunitense non autocertificata al DPF:

Potranno basare i trasferimenti di dati personali su alternative garanzie adeguate di trasferimento dei dati personali, quali le clausole contrattuali standard, nonché misure supplementari che integrano le garanzie adeguate di trasferimento,[6] previa valutazione d’impatto sul trasferimento.

[1]Decisione della Corte di giustizia del 16 luglio 2020, Data Protection Commissioner v Facebook Ireland Ltd, Maximillian Schrems, disponibile al seguente link: https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=12312155

[2] Commission implementing decision of 10.7.2023 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate level of protection of personal data under the EU-US Data Privacy Framework, disponibile al seguente link: https://commission.europa.eu/system/files/2023-07/Adequacy%20decision%20EU-US%20Data%20Privacy%20Framework_en.pdf

[3] Executive Order (E.O.)14086 of October 7, 2022, on Enhancing Safeguards for United States Signals Intelligence Activities, bolsters privacy and civil liberty safeguards for U.S. signals intelligence activities and creates an independent and binding mechanism enabling individuals in qualifying states (defined as countries and regional economic integration organizations), disponibile al seguente link: https://www.state.gov/executive-order-14086-policy-and-procedures/#:~:text=14086%20of%20October%207%2C%202022,defined%20as%20countries%20and%20regional

[4] EDPB’s Information note on data transfers under the GDPR to the United States after the adoption of the adequacy decision on 10 July 2023, disponibile al seguente link: https://edpb.europa.eu/system/files/2023-07/edpb_informationnoteadequacydecisionus_en.pdf

[5] Dichiarazioni di Max Schrems su NOYB disponibili al seguente link: https://noyb.eu/en/european-commission-gives-eu-us-data-transfers-third-round-cjeu

[6] Linee Guida del Comitato Europeo sulla protezione dei dati personali del 18 Giugno del 2021 relative alle “Raccomandazioni 01/2020 sulle misure che integrano gli strumenti di trasferimento per garantire la conformità con il livello di protezione dei dati personali dell’UE” disponibile al seguente link: https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf