Un nuovo Privacy Shield è la soluzione per i trasferimenti di dati ai sensi del GDPR?

Un accordo “di principio” su un nuovo Privacy Shield che regolerà il trasferimento dei dati personali tra il SEE e gli Stati Uniti potrebbe non cambiare molto per le imprese.

E’ possibile leggere l’articolo di seguito o ascoltare l’episodio del podcast Diritto al Digitale di seguito e su Apple PodcastsGoogle PodcastsSpotify e Audible

Il 25 marzo 2022, il Presidente della Commissione europea e il Presidente degli Stati Uniti hanno annunciato un accordo “di principio” su un nuovo Privacy Shield sui trasferimenti di dati tra il SEE e gli Stati Uniti.

Non c’è una bozza dell’accordo, ma secondo il comunicato stampa, i principi su cui è stato raggiunto un accordo sono i seguenti:

  1. I dati potranno essere trasferiti liberamente e in sicurezza tra l’UE e le aziende statunitensi partecipanti, proprio come è successo in passato con il Safe Harbor e il Privacy Shield;
  2. Ci sarà una nuova serie di regole e garanzie vincolanti per limitare l’accesso ai dati da parte delle autorità di intelligence statunitensi a ciò che è necessario e proporzionato per proteggere la sicurezza nazionale;
  3. Le agenzie di intelligence statunitensi adotteranno procedure per garantire un’efficace supervisione dei nuovi standard di privacy e libertà civili;
  4. Un nuovo sistema di ricorso a due livelli sarà in vigore per indagare e risolvere i reclami degli europei sull’accesso ai dati da parte delle autorità di intelligence statunitensi, che include un tribunale di revisione della protezione dei dati;
  5. Stringenti obblighi per le aziende che trattano i dati trasferiti dall’UE, che continueranno ad includere l’obbligo di autocertificare la loro adesione ai Principi attraverso il Dipartimento del Commercio degli Stati Uniti; e
  6. Meccanismi specifici di monitoraggio e revisione saranno in atto.

Come previsto, subito dopo l’annuncio del nuovo Privacy Shield, Max Schrems ha iniziato a sollevare rilievi circa la legalità di un nuovo accordo sul trasferimento dei dati.  Le sezioni dell’accordo su cui si è concentrato maggiormente riguardano i limiti di accesso da parte delle autorità di sorveglianza statunitensi che devono essere “necessari e proporzionati“, che suonano piuttosto poco chiari e potrebbero essere considerati incerti dalla Corte di giustizia europea in una potenziale controversia.

In effetti, il riferimento a principi generali che, in teoria, potrebbero essere manipolati dalle autorità potrebbe lasciare spazio a potenziali contestazioni da parte delle autorità UE.

In ogni caso, si deve considerare che:

  1. L’accordo è solo “di principio”, e un accordo ufficiale potrebbe non avvenire così rapidamente;
  2. Ci sarà sempre il rischio di una contestazione e un’invalidazione dell’accordo, come già accaduto ben due volte con il Safe Harbor e il Privacy Shield.  Come tale, l’esecuzione di una valutazione sul trasferimento dei dati potrebbe essere sempre raccomandabile per garantire i trasferimenti di dati; e
  3. Una valutazione sul trasferimento dei dati continuerà in ogni caso ad essere necessaria per i trasferimenti di dati verso altri paesi non appartenenti al SEE.  In effetti, diverse società statunitensi trasferiscono dati verso (o rendono i dati accessibili da) altri Paesi situati fuori dello SEE dove i costi dei dipendenti sono solitamente bassi.

Un nuovo accordo sui trasferimenti di dati verso gli Stati Uniti deve essere qindi accolto con favore, ma le aziende devono invece investire nell’esecuzione di valutazioni sul trasferimento dei dati, dal momento che i garanti europei stanno già emettendo le prime sanzioni ai sensi del GDPR per i trasferimenti di dati illegali.

Sull’argomento di cui sopra, potrebbe essere utile la metodologia e lo strumento di legal tech sviluppato da DLA Piper per l’esecuzione delle valutazioni d’impatto di trasferimento già utilizzato da più di 150 aziende in tutto il mondo, e ne parliamo nell’articolo QUI.