Il 10 luglio scorso, la Commissione Europea ha adottato la decisione di adeguatezza sul quadro UE-USA per la protezione dei dati personali giungendo alla conclusione che gli Stati Uniti garantiscono un livello di protezione adeguato – comparabile a quello dell’Unione europea – per i dati personali trasferiti dallo Spazio Economico Europeo (SEE) – che comprende i 27 Stati membri dell’UE, nonché la Norvegia, l’Islanda e il Liechtenstein – verso le imprese statunitensi che aderiranno al quadro, senza la necessità di ulteriori garanzie per la protezione dei dati.
Background: Storia dell’accordo e dei principi fondamentali
Il DPF sostituisce il Privacy Shield che è stato invalidato dalla decisione Schrems II della Corte di giustizia dell’Unione europea (CGUE) nel luglio 2020 (caso noto come Data Protection Commissioner v. Facebook Ireland Limited, Maximillian Schrems (C-311/18), perché non considerava sufficientemente l’autorità delle agenzie di intelligence statunitensi di accedere ai dati personali dell’UE negli Stati Uniti. Più specificamente, le normative degli Stati Uniti in materia di sorveglianza non limitavano la raccolta dei dati a quelli strettamente necessari e proporzionati ai legittimi obiettivi di sicurezza nazionale.
Per affrontare le questioni sollevate dalla Corte di giustizia nella sentenza Schrems II, il 7 ottobre 2022 la Casa Bianca degli Stati Uniti ha pubblicato l’Ordine Esecutivo volto al miglioramento delle salvaguardie per le attività di intelligence dei segnali degli Stati Uniti (EO 14086), accompagnato da regolamenti adottati dal Procuratore generale.
L’EO 14086 introduce nuove garanzie vincolanti per limitare l’accesso ai dati da parte delle autorità di intelligence statunitensi e istituisce un meccanismo di ricorso indipendente e imparziale per indagare e risolvere i reclami relativi all’accesso ai dati da parte delle autorità di sicurezza nazionale statunitensi.
La decisione sull’adeguatezza si basa in larga misura sulle modifiche apportate alla legge statunitense dall’EO 14086.
Che cos’è il Framework UE-USA sulla privacy dei dati?
Come il Privacy Shield, il DPF è un pacchetto di misure concepite per disciplinare le modalità di protezione dei dati personali trasferiti dall’UE agli Stati Uniti da parte delle aziende che si autocertificano. Le organizzazioni statunitensi certificate devono impegnarsi a rispettare una serie di principi fondamentali, tra cui: informativa, scelta, accountability per i trasferimenti successivi, sicurezza, integrità dei dati e limitazione delle finalità, accesso, ricorso, applicazione della normativa e responsabilità. I principi si applicano immediatamente dopo l’autocertificazione, soggetta a verifica annuale.
Il DPF fornisce agli europei i cui dati verranno trasferiti a società certificate negli Stati Uniti diversi nuovi diritti, ad esempio: ottenere l’accesso ai propri dati, oppure ottenere la rettifica o la cancellazione di dati errati o trattati illegalmente. Inoltre, offre diverse vie di ricorso nel caso in cui i loro dati vengano trattati in modo errato, tra cui meccanismi di risoluzione delle controversie indipendenti e gratuiti e un collegio arbitrale.
L’autocertificazione del rispetto dei principi privacy del DPF è aperta solo alle organizzazioni regolamentate dalla Federal Trade Commission (Commissione federale per il commercio degli USA) e dal Dipartimento dei Trasporti degli Stati Uniti. Di conseguenza, alcuni settori, come le banche e le compagnie di assicurazione, sono esclusi dalla certificazione. Tuttavia, i fornitori di tecnologia che lavorano con queste aziende rientrano comunque nel DPF.
Alle aziende che hanno già aderito al Privacy Shield sarà probabilmente offerta una facile transizione al DPF.
Il 17 luglio, il Dipartimento del Commercio degli Stati Uniti (DoC) ha lanciato il sito web del programma Data Privacy Framework, dove le organizzazioni con sede negli Stati Uniti possono presentare un’autocertificazione e trovare informazioni sulle aziende partecipanti e altro ancora. Le attività di monitoraggio del DPF sono, infatti, di competenza del DoC che provvederà anche a mantenere e rendere disponibile al pubblico la Data Privacy Framework List delle organizzazioni che hanno certificato la loro adesione ai principi.
I Risvolti per le Aziende: Implicazioni e Opportunità
Dal 10 luglio 2023 i trasferimenti dall’UE a organizzazioni negli Stati Uniti incluse nell’elenco DPF possono basarsi sulla decisione di adeguatezza, senza dover ricorrere agli strumenti di trasferimento previsti dall’articolo 46 del GDPR: ad esempio, le clausole standard di protezione dei dati (SCC) e le norme vincolanti d’impresa (BCR).
Ma, come affermato, ci sono organizzazioni escluse dal campo di applicazione del DPF o che preferiscono non certificarsi.
Per determinare, quindi, l’applicabilità del DPF è necessaria una valutazione approfondita per verificare se la società è certificabile, se è certificata e se i prodotti e servizi offerti all’azienda europea sono certificati. Se uno di questi elementi non è soddisfatto, si applicherà il regime di trasferimento dei dati in vigore prima del 10 luglio 2023: si dovranno utilizzare le SCC, le BCR o un altro meccanismo di trasferimento ed effettuare il cosiddetto Transfer Impact Assessment (TIA).
Infine, va notato che il funzionamento del DPF sarà soggetto a revisioni periodiche, che saranno effettuate dalla Commissione Europea insieme ai rappresentanti delle Autorità Europee per la protezione dei dati e delle Autorità Statunitensi competenti. Pertanto, il quadro normativo potrebbe cambiare nel prossimo futuro.
Garantire la conformità: Preparare la tua Azienda per un Mondo di Dati Sicuri
Le aziende che trasferiscono dati negli Stati Uniti devono ora affrontare importanti cambiamenti nei loro modelli di gestione della privacy. I professionisti di CyberSec Privacy Advisory possono fornire i servizi necessari per conformarsi alle normative e per essere allineati con l’aggiornamento del quadro legale.
BIP CyberSec ha sviluppato un approccio metodologico per assistere le organizzazioni nella valutazione del trasferimento di dati nel paese terzo (Transfer Impact Assessment) in 5 steps:
- analisi preliminare del trasferimento e individuazione delle garanzie adeguate ex art. 46 GDPR con un approfondimento giuridico del quadro normativo del paese di destinazione;
- classificazione del trasferimento in base alla tipologia di destinatario dei dati (trasferimenti infra-gruppo, a terzi, a fornitori di tecnologia, ecc.);
- risk analysis: valutazione dei rischi associati al paese terzo importatore dei dati e dei rischi per la protezione dei dati oggetto del trasferimento, considerando i possibili impatti per gli interessati derivati dalla loro violazione;
- Impact assessment considerando i vari fattori coinvolti tra cui la legislazione del paese importatore, il flusso dei dati e gli strumenti utilizzati, la categoria dei dati trasferiti, gli eventuali trasferimenti successivi, ecc.
- Remediation Plan, al fine di adottare le garanzie necessarie e le misure di sicurezza richieste in funzione del rischio per la protezione dei dati individuato.
Contattaci per ottenere una consulenza con i nostri esperti.