La Commissione Europea ha espresso un parere di adeguatezza del sistema di protezione dei dati personali degli USA, rendendo più scorrevole il trasferimento dei dati da titolari del trattamento UE a entità americane, se queste ultime aderiscono al set di regole e principi denominato EU-US Data Privacy Framework.
Introduzione
Il 10 luglio 2023 la Commissione Europea ha adottato una decisione di adeguatezza riguardo alla protezione assicurata dalla normativa degli Stati Uniti ai dati personali trasferiti da titolari del trattamento UE a entità USA. In particolare, l’adeguatezza riguarda il sistema di norme e principi denominato EU-US Data Privacy Framework, a cui le società statunitensi che vogliono poter ricevere dati personali possono aderire.
Questa decisione semplifica il trasferimento dei dati da parte delle entità europee verso le società americane.
Il percorso
Abbiamo dato conto del precedente stato delle cose nell’articolo che si può trovare a questo link.
In sintesi, il Regolamento UE 2016/679 (GDPR) consente che i dati personali di cittadini UE siano trasferiti in Paesi extra UE se questi Paesi garantiscono un adeguato livello di protezione dei dati, adeguatezza valutata dalla Commissione Europea con apposita decisione – come quella qui in commento.
Nel caso la Commissione non ritenga di adottare una simile decisione, un titolare del trattamento potrà ugualmente trasferire dati personali verso il Paese extra UE se il titolare stesso fornisce adeguate garanzie di protezione.
Precedenti decisioni di adeguatezza riguardanti gli Stati Uniti sono state invalidate dalla Corte di Giustizia UE. Di conseguenza, i trasferimenti di dati personali potevano avvenire solamente sulla base delle citate garanzie fornite dal titolare del trattamento trasferente i dati: stipula di appositi contratti, adozione di particolari clausole e cautele, adesione a strumenti di certificazione, ecc.
La consapevolezza della necessità di un nuovo accordo sul trasferimento dei dati ha portato il presidente americano Biden a adottare l’ordine esecutivo 14086 del 7 ottobre 2022, capace di modificare parte della normativa statunitense in materia. Soprattutto alla luce di questo provvedimento è stata adottata la decisione in commento.
La decisione della Commissione
La Commissione ha precisato che, secondo il GDPR, i trasferimenti di dati personali extra UE si possono fare se il Paese destinatario offre adeguati livelli di protezione; in tal caso, non servono altre particolari autorizzazioni a detto trasferimento. Non occorre che la protezione del Paese terzo sia la stessa assicurata dal GDPR, basta che sia nella sostanza adeguata alla protezione dei diritti degli interessati.
Dallo stato precedente della legislazione USA, la protezione dei dati era limitata dal possibile ampio accesso delle autorità pubbliche ai dati trasferiti e dalla mancata possibilità degli interessati di ottenere effettivo rimedio alla violazione dei propri diritti riguardanti i propri dati personali.
L’Ordine esecutivo del Presidente USA 14086/2022 ha mitigato queste interferenze, inoltre il quadro di principi e norme americane applicabili è stato aggiornato.
La Commissione dunque, dopo adeguata analisi, ha ritenuto che la nuova normativa e i nuovi principi Usa offrano una protezione essenzialmente equivalente a quella fornita dal GDPR per i dati trasferiti negli Usa stessi .
Ha così deciso anche alla luce del fatto che i compiti delle autorità Usa preposte e gli obblighi di trasparenza assicurano l’applicazione effettiva della normativa; che i rimedi offerti ai cittadini UE sono adeguati e effettivi; che le interferenze delle agenzie pubbliche americane sono limitate a quanto strettamente necessario al raggiungimento degli obiettivi di sicurezza nazionale.
Pertanto il trasferimento da qualsiasi Stato Membro UE verso gli USA è ora possibile senza ulteriori autorizzazioni o strumenti.
La Commissione in ogni caso si impegna a monitorare il funzionamento del meccanismo e i suoi sviluppi e valutare se mantenere o revocare la decisione di adeguatezza. La prima revisione dovrà avvenire entro un anno dall’adozione della decisione stessa.
Cosa prevede il Data Privacy Framework
Il quadro normativo americano in materia di protezione dei dati per il trasferimento di dati personali UE-USA prevede innanzitutto un sistema di certificazione: le società americane che vogliono essere destinatarie di dati personali da parte di entità UE devono aderire al protocollo EU-US Data Privacy Framework, adeguare la propria gestione dei dati ai principi e alle norme del protocollo stesso e sottoporsi alle verifiche, ai controlli e ai poteri autoritativi degli enti pubblici americani a ciò deputati, in particolare della Federal Trade Commission (FTC) del U.S. Department of Transportation (DoT).
Le società aderiranno al protocollo autocertificando il loro rispetto della normativa: questo permetterà loro di essere inserite nell’elenco delle entità che possono ricevere dati da titolari del trattamento europei senza altre autorizzazioni. Le società inoltre devono rinnovare la loro aderenza ai principi del Data Privacy Framework su base annuale.
Se l’adesione al protocollo è volontaria, una volta che una società vi ha aderito è obbligata al rispetto del set di norme e principi che il protocollo prevede. Di conseguenza, se le società iscritte al Framework non ne rispettano le regole, potranno subire sanzioni.
Le aziende che vi aderiscono, inoltre, sono sottoposte all’autorità degli enti preposti: dovranno permettere le verifiche da parte loro e adeguarsi alle loro decisioni, che potranno essere sia di richiamo, sia di richiesta di miglioramento del loro sistema di protezione, sia sanzionatorie, arrivando anche alla cancellazione dall’elenco delle società aderenti al Framework.
Altra parte importante della normativa è la creazione del sistema di ricorso che può essere presentato dall’interessato i cui dati personali sono trattati: sono previsti diversi mezzi di reclamo, che possono essere presentati all’azienda USA stessa, ad un organo indipendente di risoluzione delle controversie, agli enti pubblici USA preposti, agli organismi UE e USA coinvolti nel Data privacy Network, compreso un organismo comune di gestione delle controversie (EU-US Data Privacy Framework Panel).
Nel caso di reclamo fondato, non solo l’azienda sarà tenuta a adottare i comportamenti necessari per conformarsi alla decisione e salvaguardare i dati dell’interessato ma potrebbe anche essere condannata a risarcire i danni patiti dall’interessato i cui dati sono stati violati.
Si sottolinea infine come determinanti per la decisione di adeguatezza siano le norme che limitano l’accesso ai dati personali da parte delle agenzie governative USA e in genere delle autorità pubbliche americane a quanto necessario e proporzionato per proteggere la sicurezza nazionale.
Perché è rilevante
L’accordo è stato perseguito sia da UE che USA perché le relazioni anche economiche tra gli Stati europei e l’America sono molto rilevanti; che le aziende tra i due lati dell’oceano possano dialogare sapendo che gli eventuali dati personali trasferiti lo sono legittimamente senza bisogno di ulteriori formalità facilita le relazioni commerciali.
Altrettanto vale per l’uso delle piattaforme americane, come quelle fornite da Google, Meta e altri.
In particolare, negli ultimi tempi la sospensione delle precedenti decisioni di adeguatezza aveva complicato proprio le relazioni con le grandi società statunitensi fornitrici di strumenti d’uso quotidiano per le aziende: software di scrittura, calcolo, posta elettronica; piattaforme di cloud computing; strumenti per la gestione delle statistiche e delle attività di marketing; gestionali di clientela e fornitori, eccetera.
Con simili contraenti è pressoché impossibile negoziare accordi specifici per il trattamento dei dati, vista la sproporzione della forza contrattuale delle parti: generalmente per le aziende che si avvalgono dei loro strumenti si tratta solamente di aderire o non aderire alle loro condizioni, senza poter dialogare su aspetti specifici come quelli della gestione dei dati personali. Ecco che, nel caso le stesse grandi società non fornissero loro stesse adeguate soluzioni contrattuali, l’utilizzo dei loro strumenti poteva risultare in violazione del GDPR per le aziende europee loro parti commerciali. Si pensi ad esempio al caso recente che ha riguardato, in Italia e non solo, l’utilizzo di Google Analytics da parte di diverse società.
L’adozione della decisione di adeguatezza da parte della Commissione, che ritiene legittimo il trasferimento dati ad aziende USA aderenti al Data Privacy Framework, consente alle società UE di usufruire degli strumenti delle grandi aziende americane aderenti al Framework con la certezza di rispettare le norme del GDPR.
La fluidità delle relazioni commerciali tra Europa e Stati Uniti è un vantaggio per le rispettive economie; la protezione dei diritti dei cittadini rimane principio da perseguire con costanza.
Foto di Jason Dent.
Il contenuto di questo documento ha mero scopo informativo e non costituisce parere professionale sul tema trattato.
Per ulteriori informazioni ed approfondimenti contattateci all’indirizzo studioATtommasinimartinelli.it.
È consentita la diffusione parziale purché ne sia citata la fonte.
