L’executive order degli Stati Uniti è la soluzione al trasferimento dei dati?

Il Presidente degli Stati Uniti ha adottato l’executive order volto a creare l’EU-US Data Privacy Framework, ma questa è la soluzione al trasferimento dei dati fuori dello SEE?

La grande notizia è che il Presidente Biden ha firmato l’executive order da cui potrebbe discendere la decisione di adeguatezza della Commissione europea sul trasferimento dei dati personali dall’Unione europea agli Stati Uniti.

Di seguito una nostra analisi della situazione e delle possibili conseguenze:

Cosa prevede l’executive order degli Stati Uniti sul framework per il trasferimento dei dati?

I contenuti principali dell’executive order:

1. aggiunge ulteriori garanzie per le attività di intelligence degli Stati Uniti. In particolare l’executive order richiama i principi di necessità e di proporzionalità anche previsti dal GDPR

📌 Sarà decisivo comprendere che se questi principi saranno applicati dal governo americano secondo la stessa interpretazione prevista dal Regolamento privacy europeo per evitare le criticità contestate dalla Corte di Giustizia europea nella sentenza Schrems 2 rimarrà.

2. impone requisiti al trattamento per i dati personali raccolti attraverso le attività di intelligence

📌 Bisognerà comprendere se le società americane dovranno conformarsi con gli stessi principi previsti dal GDPR in relazione ai dati trasferiti dall’Unione europea (e.g. base giuridica del trattamento e liceità dello stesso).

3. richiede all’intelligence degli Stati Uniti di aggiornare le proprie politiche e procedure per riflettere le nuove garanzie in materia di privacy e libertà civili contenute nell’executive order

📌 Si tratta di una conseguenza delle misure sopra indicate. E’ da tenere conto però che l’executive order non è una disposizione di legge e quindi un successivo presidente americano potrebbe facilmente revocare l’ordine.

4. crea un meccanismo a più livelli per gli individui per ottenere una revisione e un risarcimento dei danni indipendenti e vincolanti in caso di reclami secondo cui i loro dati personali raccolti dall’intelligence degli Stati Uniti sono stati trattati in violazione della legge statunitense applicabile come indicato di seguito:
Primo livello, il funzionario per la protezione delle libertà civili presso l’Ufficio del direttore dell’intelligence nazionale (CLPO).
Secondo livello, il Tribunale per il riesame della protezione dei dati (“DPRC”).

📌 Questa previsione sarà anche decisiva per valutare una adeguatezza delle normativa americana in quanto si dovrà comprendere se effettivamente si tratterà di un tribunale indipendente, oppure presenta le stesse criticità del Ombudsperson previsto dal Privacy Shield.

5. invita il Privacy and Civil Liberties Oversight Board a rivedere le politiche e le procedure dell’Intelligence Community per garantire che siano coerenti con l’executive order.

📌 Valgono le stesse valutazioni di cui al precedente punto 3.

Quali sono gli effetti dell’executive order e cosa dovrà fare ora la Commissione europea?

Sebbene l’executive order non sia una disposizione di legge è vincolante con effetto immediato all’interno dell’organizzazione governativa americana. Come illustrato dalla Commissione europea in delle FAQ il processo che porterà ad una eventuale decisione di adeguatezza è ancora lungo.

La Commissione europea dovrà ottenere un parere del Comitato europeo per la protezione dei dati (EDPB) e il via libera di un comitato composto da rappresentanti degli Stati membri dell’UE. Inoltre, il Parlamento europeo ha il diritto di controllo sulle decisioni di adeguatezza.

Si tratta di un processo che, secondo le stime, dovrebbe prendere circa 6 mesi.

Cosa devono fare le aziende prima della decisione di adeguatezza della Commissione europea?

Le FAQ pubblicate dalla Commissione europea lasciano intendere che, in pendenza della decisione di adeguatezza, le aziende dovranno continuare ad usare gli altri strumenti a disposizione per regolare il trasferimento dei dati verso gli Stati Uniti, come le Clausole Contrattuali Standard che quindi richiedono di eseguire la valutazione del trasferimento dei dati. Questo approccio è decisamente raccomandabile, anche tenendo conto dei primi commenti di “battaglia” pubblicata da NOYB, l’associazione gestita da Max Schrems le cui azioni hanno già portato due volte all’invalidazione degli strumenti per supportare i trasferimenti di dati verso gli Stati Uniti.

In un recente intervento, l’Avv. Guido Scorza, componente del Collegio del Garante per la protezione dei dati personali, ha anticipato che ci potrebbe essere una posizione congiunta da parte dei garanti europei in merito. Il problema si pone principalmente con strumenti come Google Analytics il cui utilizzo è stato contestato sia dal Garante italiano che da altri garanti europei, anche fornendo un termine alle aziende per conformarsi.

Nell’attuale situazione, bisogna tener conto che, aldilà della eventuale futura decisione di adeguatezza, l’executive order americano è immediatamente vincolante. Quindi la valutazione del rischio derivante dal trasferimento dei dati personali negli Stati Uniti è necessariamente cambiata. Il nostro team di DLA Piper sta velocemente aggiornando il country assessment degli Stati Uniti ai fini della valutazione del trasferimento (TIA) tramite il nostro tool di legal tech “Transfer” per supportare i nostri client. Aldilà di quello che sarà deciso sull’adeguatezza, l’executive order è immediatamente applicabile e quindi la valutazione della normativa americana ai fini del trasferimento dei dati personali verso gli Stati Uniti è modificata. Resta inteso poi che, anche dopo l’eventuale decisione di adeguatezza relativa agli US, le TIA continueranno ad essere necessarie per i trasferimenti di dati verso altri paesi fuori dello SEE che non hanno una decisione di adeguatezza.

Il nostro tool di legal tech e la metodologia per supportare le aziende nelle TIA denominato “Transfer” è in grado di gestire al momento trasferimenti in 68 paesi ed è usato da 200+ clienti. Potete trovare una presentazione su Transfer al link QUI