È di poche settimane fa la notizia di un accordo che va a rendere più agevole il trasferimento dei dati tra UE e USA: abbiamo deciso, come sempre, di prenderci il giusto tempo prima di condividere la notizia e rispondere alle domande ricevute in questo periodo.
Questa volta ci siamo rivolti al nostro partner Argo Business Solutions, società specializzata in privacy e data protection e nel supporto alle aziende nelle procedure di adeguamento al Regolamento UE “GDPR”.
1. Dove eravamo rimasti e perché siamo arrivati al Data Privacy Framework?
Chi nell’ambito della sua vita professionale si è imbattuto negli ultimi anni nell’annosa questione del trasferimento dei dati personali dall’Unione Europea verso gli Stati Uniti d’America, magari utilizzando tool e strumenti di Google o di altri provider americani, si sarà sentito decisamente sperduto e confuso. Il tema è molto tecnico e fa impazzire anche chi lavora nel settore della data protection. Proviamo a spiegare il tutto in maniera semplice, accessibile e in maniera schematica:
- Il Regolamento UE 2016/679 (“GDPR”) disciplina il trattamento dei dati personali nell’Unione Europea;
- Il GDPR vieta trasferimenti, salvo adottare specifici accorgimenti, verso Paesi extra UE considerati “non adeguati”;
- Per svariate ragioni (in primis l’iperattività dell’intelligence americana), gli USA sono considerati un Paese non adeguato da parte della Commissione Europea;
- Moltissimi strumenti che utilizziamo nell’ambito della nostra vita professionale, offerti da provider che sono leader di mercato, operano trasferimenti di dati verso gli USA;
- UE e USA hanno più volte cercato di disciplinare e regolare il trasferimento dei dati personali ma le soluzioni in precedenza trovate sono state invalidate da diversi interventi della Corte di Giustizia dell’Unione Europea, attivata a seguito delle battaglie di un gruppo di attivisti capitanati dall’austriaco Max Schrems.
Visto e considerato quanto sopra, i DPO e i consulenti privacy delle aziende sono spesso consultati per trovare delle soluzioni, spesso non semplici, sia tecniche che giuridiche all’annoso problema.
Il Componente del Garante per la Protezione dei Dati Personali, Guido Scorza, dichiarò a Repubblica nel giugno dello scorso anno:
«Il vero nodo non si può sciogliere a valle, ma a monte. Significa passare dall’impegno politico che a marzo Joe Biden e Ursula von der Leyen hanno preso per uniformare l’allineamento americano a quello comunitario, rendendo semplice e legittimo il trasferimento dei dati agli Stati Uniti. Quello che manca a quell’accordo politico è un accordo giuridicamente vincolante. Noi stiamo giocando di supplenza, in un tratto specifico della filiera, legata a un singolo episodio: ma il problema è molto più ampio».
Ora quell’accordo c’è. Infatti, l’ultimo tentativo di UE e USA di rendere più agevoli i trasferimenti di dati personali si chiama “Data Privacy Framework”
2. In cosa consiste il Data Privacy Framework?
Il Data Privacy Framework nasce, come abbiamo detto, da un accordo politico tra il presidente USA Biden e la Presidente della Commissione UE Ursula von der Leyen. Senza entrare troppo nei dettagli tecnici (potremmo parlare per ore di Data Protection Review Court (DPRC) e della decisione di adeguatezza della Commissione), il DPF prevede, tra le varie cose, un meccanismo di certificazione con adesione volontaria. Gli aderenti devono rinnovare la certificazione ogni anno. Chi si certifica deve garantire il rispetto di numerosi requisiti (es. informativa, scelta, accountability sui trasferimenti ulteriori, misure di sicurezza, ecc.).
Le aziende USA già certificate al precedente “Privacy Shield” (uno degli strumenti invalidati in precedenza dalla Corte di Giustizia UE), diventano automaticamente certificate ai sensi del DPF, se aggiornano le loro policy entro il 10 ottobre 2023, ma possono da subito fare affidamento sul DPF. Al seguente link è presente l’elenco delle società certificate: https://www.dataprivacyframework.gov/s/participant-search
Insomma, prima di trasferire dati verso una determinata azienda negli USA, è necessario effettuare un controllo sul sito.
3. Possiamo tirare un sospiro di sollievo?
Nel breve periodo sì. Il DPF rende molto più semplice, dal 10 luglio 2023, per le aziende UE (e per i loro consulenti e DPO) trovare adeguate garanzie per il trasferimento dei dati verso specifiche aziende americane certificate o aziende che trasferiscono dati verso gli USA.
4. Che cosa ci possiamo aspettare per il futuro? Cambieranno di nuovo le carte in tavola?
Abbiamo usato il termine “nel breve periodo”, nella risposta precedente, dal momento che rimangono all’orizzonte molte incognite. In primis, Max Schrems ha paventato nuove azioni che potrebbero nuovamente condurre il DPF di fronte alla Corte di Giustizia dell’Unione Europea.
Inoltre, la decisione di adeguatezza sarà riesaminata dalla Commissione Europea fra un anno. Qualora vi fossero sviluppi che mettano a rischio il livello di protezione dei dati personali, la Commissione potrebbe addirittura ritirare la decisione di adeguatezza.
In ogni modo, al momento è impossibile immaginare percentuali precise per ogni scenario.
5. Consigli e best practice?
Attualmente, è necessario attivare il proprio consulente privacy e/o il proprio DPO per passare in rassegna tutti i propri responsabili e sub-responsabili che operano trasferimenti di dati verso gli USA, verificando l’eventuale certificazione sul sito del DPF.
Un consiglio è quello di continuare, in ogni caso, ad affidarsi alle Clausole Contrattuali Standard, soprattutto nei contratti pluriennali, che possono tutelarci qualora il DPF venisse invalidati dalla Corte di Giustizia UE o venisse ritirato dalla Commisione Europea. Insomma, conviene aspettarsi il meglio ma prepararsi, in ogni caso, al peggio.
Hai altre domande? Compila questo form per parlare con i consulenti di Argo e Digital Pills:
