La decisione di adeguatezza della Commissione europea sul trasferimento dei dati verso gli Stati Uniti presenta delle aree grigie che abbiamo cercato di chiarire.
Il 10 luglio 2023, la Commissione europea ha adottato una nuova decisione di adeguatezza ex art. 45 (3) GDPR per regolare i flussi di dati personali dall’Unione europea verso gli Stati Uniti. Inserita nel contesto dell’EU-US Data Privacy Framework, questa decisione permetterà alle organizzazioni certificate statunitensi di scambiare liberamente dati con le aziende europee, agevolando il flusso di informazioni tra due importanti partner commerciali.
Dopo un lungo negoziato tra le autorità di entrambi i paesi, culminato con l’adozione da parte degli Stati Uniti dell’Executive Order 14086, la Commissione ha ritenuto sussistere le basi per l’emanazione della nuova decisione di adeguatezza, che ora è già in vigore.
Il quadro normativo tracciato dal GDPR prevede che i trasferimenti internazionali di dati personali possano avvenire liberamente, e quindi senza la necessità di autorizzazioni o adempimenti, solo nel caso in cui il paese terzo o l’organizzazione internazionale ricevente assicuri un livello di tutela dei dati considerato adeguato. La Commissione europea può garantire, emanando una decisione di adeguatezza, che un paese, o alcuni settori della sua economia, presentano un livello di protezione “essenzialmente equivalente” rispetto a quello offerto dal diritto dell’Unione. In assenza di una simile decisione, i soggetti che intendono effettuare trasferimenti di dati devono garantire il rispetto dei diritti degli interessati adottando “appropriate salvaguardie”.
La Commissione europea ha pubblicato le FAQ sulla decisione di adeguatezza relativa ai trasferimenti di dati, che non forniscono però tutte le risposte necessarie; cerchiamo di fornire quindi alcuni chiarimenti sulle potenziali aree grigie. Sulla base delle prime discussioni con i clienti, ecco le principali richieste di chiarimenti e le relative risposte sulla decisione di adeguatezza relativa ai trasferimenti di dati verso gli Stati Uniti:
- È stata pubblicizzata come una decisione di adeguatezza, ma il Data Privacy Framework (DPF) funziona come il Privacy Shield; le aziende devono rispettare obblighi specifici per essere certificate;
- ll Dipartimento del Commercio degli Stati Uniti ha pubblicato uno statement secondo cui le aziende che erano già certificate ai sensi del Privacy Shield diventano automaticamente certificate ai sensi del DPF, se aggiornano le loro policy entro il 10 ottobre 2023, ma possono da subito fare affidamento su DPF. Infatti, ora è disponibile un elenco delle società che sono DPF certified che saranno le stesse precedentemente certificate ai sensi del Privacy Shield perché le aziende non devono eseguire una nuova certificazione. Solo qualora le aziende non vogliano certificarsi ai sensi del DPF, dovranno fare una richiesta di cancellazione;
- sul Data Privacy Framework, ma al momento non esiste alcuna procedura di certificazione; pertanto nessuna azienda può ancora fare affidamento sul DPF per i trasferimenti di dati;
- La certificazione potrebbe non coprire tutti i prodotti/servizi dell’aziende statunitense, poiché ci sono impegni da rispettare e, come è successo in passato con il Privacy Shield, le aziende statunitensi potrebbero non essere in grado di rispettarli in relazione a tutti i loro prodotti/servizi;
- Non tutte le aziende possono essere certificate ai sensi del DPF, poiché devono essere aziende che rientrano nei poteri di indagine e di applicazione della Federal Trade Commission o del Dipartimento dei Trasporti degli Stati Uniti (DoT), lasciando fuori dal campo di applicazione, ad esempio, banche e compagnie assicurative, ma includendo i loro fornitori di tecnologia;
- Pertanto, il DPF non funziona come la decisione di adeguatezza applicabile, ad esempio, nel Regno Unito e in Giappone. Sarà necessario verificare se l’ente può essere certificato DPF, se è certificato e se i prodotti/servizi offerti sono certificati;
- Se la risposta a una qualsiasi delle domande di cui al punto precedente è NO, il regime applicabile sarà quello precedente al 10 luglio 2023. Pertanto, dovrà essere effettuata una valutazione dell’impatto del trasferimento (TIA);
- Se la risposta a una qualsiasi delle domande di cui al punto precedente è SI, si può decidere di affidarsi al DPF. Ma siete consapevoli che NOYB porterà il caso alla Corte di Giustizia Europea entro un paio d’anni e che i precedenti favoriscono Max Schrems e i suoi amici. Inoltre, nella maggior parte dei casi, le Big Tech trasferiscono i dati non solo negli Stati Uniti, ma anche in altre giurisdizioni non appartenenti allo Spazio Economico Europeo e, pertanto, dovrete continuare a gestire un TIA per questi paesi;
- Il DPF è comunque un’ottima notizia poiché, durante la sua durata (che è incerta), consentirà di evitare il regime estremamente severo sui trasferimenti di dati derivante dalla decisione dell’Autorità irlandese per la protezione dei dati nei confronti di Meta che lasciava un margine di manovra piuttosto limitato per i trasferimenti di dati nel caso di entità soggette al FISA, anche se i criteri esposti in tale decisione sono decisamente discutibili come illustrato in questo articolo “Sanzione di € 1,2 miliardi contro Meta cosa fare ora sui trasferimenti dei dati?“.
Spero che sia d’aiuto; inviateci qualsiasi commento/domanda!
Non c’è dubbio che le aziende avranno ancora bisogno di supporto per eseguire le TIA e il tool di legal tech “Transfer” realizzato da DLA Piper è già utilizzato da oltre 300 clienti. Potete saperne di più QUI
Autori: Giulio Coraggio e Chiara Fiore