Cambia di nuovo il quadro giuridico di riferimento sul trasferimento dei dati personali dall’Unione Europea agli Stati Uniti: il 10 luglio 2023, infatti, la Commissione Europea ha adottato una decisione di adeguatezza sul Data Privacy Framework statunitense per il trasferimento dati UE-USA.
Attraverso la decisione di adeguatezza, la Commissione europea ha affermato che gli Stati Uniti forniscono un livello di protezione sufficiente ai dati dei cittadini europei. Protezione ritenuta al pari di quella garantita nell’Unione Europea.
Entrato in vigore contestualmente al placet della Commissione Europea, il Framework sulla privacy consente il trasferimento di dati dall’Unione Europea alle imprese statunitensi nel rispetto dei principi previsti dal GDPR.
In particolare, il nuovo framework aumenta le garanzie nei confronti degli utenti, ponendo limiti maggiori alle finalità, la minimizzazione e la conservazione dei dati, nonché obblighi specifici in materia di sicurezza e condivisione dei dati con terzi.
La questione era in sospeso da tempo, in seguito alle sentenze Schrems, le quali hanno portato all’annullamento del Safe Harbor (trattato che consentiva alle aziende statunitensi di gestire su server americani i dati personali degli utenti europei) e all’invalidazione del più recente Privacy Shield.
Tuttavia, sebbene il Data Privacy Framework rappresenti un passaggio importante, non sappiamo ancora se metterà fine alla questione trasferimento dati UE-USA. Schrems e la sua associazione, infatti, si stanno già attivando per evidenziare le lacune del Framework privacy, considerato già in bilico da diverse parti. Inoltre, non c’è la certezza che il framework possa resistere all’esame della Corte di Giustizia, che potrebbe sospenderlo durante la sua analisi.
Ma quali novità introduce il Data Privacy Framework? Come verrà gestito il trasferimento dei dati nei paesi extra UE?
Vediamo cosa comporta la decisione di adeguatezza del Framework privacy UE-USA e quali cambiamenti si prospettano per le aziende che trasferiscono dati personali degli utenti negli USA.
| Quali sono le novità sul trasferimento dei dati personali dall’UE alle società statunitensi con il Data Privacy Framework
La decisione di adeguatezza è uno strumento previsto dall’articolo 45 del Regolamento Generale sulla Protezione dei Dati:
“Un trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale può aver luogo se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all’interno di tale paese terzo o l’organizzazione internazionale in questione garantisce un livello adeguato di protezione. Tale trasferimento non richiede alcuna autorizzazione specifica”
L’articolo 45 del GDPR, dunque, prevede la trasmissione di dati di cittadini europei verso paesi terzi ma solo nel caso in cui sia garantito un livello di protezione adeguato, valutato dalla Commissione.
Negli anni precedenti, in seguito alla sentenza Schrems II, il trasferimento di dati verso gli Stati Uniti è stato soggetto ad un braccio di ferro pesante. Una delle criticità fondamentali che erano state individuate dalla sentenza Schrems II era la facilità con cui i diritti privacy dell’interessato potevano essere lesi dall’accesso indiscriminato ai dati consentito alle autorità americane.
Per questo motivo il nuovo framework agisce su più versanti:
- richiede l’impegno delle aziende statunitensi a rispettare gli obblighi relativi alla privacy;
- impone limiti all’accesso;
- prevede un nuovo meccanismo di difesa.
Secondo il nuovo Data Privacy Framework, quindi, le società possono effettuare un trasferimento dati nel rispetto dell’articolo 45 del GDPR. Ossia mantenendo quelli che sono i principi fondamentali fissati dal Regolamento, come: limitazione delle finalità, la minimizzazione e la conservazione dei dati, nonché obblighi specifici in materia di sicurezza dei dati e condivisione dei dati con terzi.
| Adesione al Data Privacy Framework EU-USA
Per le aziende statunitensi è prevista l’adesione al nuovo framework che implica il rispetto di diverse norme sulla privacy. Ad esempio c’è l’obbligo di garantire la protezione dei dati condivisi con terze parti e quello di cancellazione dei dati personali quando non risultano più necessari.
| Limiti all’accesso previsti dal nuovo Framework privacy UE-USA
Nello stesso specifico nel Data Privacy Framework si prevedono:
- garanzie vincolanti che limitino l’accesso ai dati da parte delle autorità di intelligence statunitensi. L’accesso deve essere limitato a quanto necessario e proporzionato alla protezione della sicurezza nazionale;
- controllo rafforzato delle attività dei servizi di intelligence statunitensi per garantire il rispetto delle limitazioni alle attività di sorveglianza;
- istituzione di un meccanismo di ricorso indipendente e imparziale. Questo include un nuovo tribunale di revisione della protezione dei dati per indagare e risolvere i reclami relativi all’accesso ai loro dati da parte delle autorità di sicurezza nazionale degli Stati Uniti.
| Data privacy framework: il meccanismo di difesa
Viene previsto anche un nuovo meccanismo di difesa, suddiviso in diversi step:
- gli individui possono presentare un reclamo alla loro autorità nazionale per la protezione dei dati. Questa garantirà che il reclamo venga trasmesso correttamente e che qualsiasi ulteriore informazione relativa alla procedura, anche sull’esito, sia fornita all’individuo;
- le denunce saranno esaminate, poi, dal cosiddetto “Civil Liberties Protection Officer” della comunità di intelligence statunitense. Quest’ultimo è un soggetto cui si affida la responsabilità di garantire il rispetto della privacy e dei diritti fondamentali da parte delle agenzie di intelligence statunitensi;
- gli interessati hanno anche la possibilità di impugnare la decisione del responsabile della protezione delle libertà civili dinanzi al nuovo tribunale di revisione della protezione dei dati (DPRC). Il tribunale è composto da membri esterni al Governo degli Stati Uniti, nominati sulla base di qualifiche specifiche e con il divieto di ricevere istruzioni dal Governo. Il DPRC può indagare sui reclami dei cittadini europei ed adottare decisioni correttive, come la cancellazione dei dati.
- viene nominato un avvocato speciale il cui compito è rappresentare gli interessi del reclamante.
Infine, il tribunale prende la sua decisione, che viene comunicata al reclamante corredata dalle motivazioni della Corte.
| Cosa cambia per siti web e siti ecommerce con il Data Privacy Framework
Chiaramente, per chi lavora nella vendita online o possiede un sito internet, la decisione di adeguatezza rappresenta una boccata di ossigeno. Dopo le vicende relative a Google Analytics e Meta, infatti, si era complicata sia la gestione che l’analisi dei dati degli utenti. Con il nuovo Framework privacy, invece, sarà possibile utilizzare i tool americani senza il rischio di commettere illeciti e incorrere in sanzioni per violazione della privacy.
| FAQ sul Framework privacy UE – USA
Ecco alcune risposte alle domande frequenti sul Framework privacy UE-USA
> A chi possono essere trasferiti i dati personali negli Stati Uniti?
I dati personali possono essere trasferiti alle organizzazioni statunitensi incluse nella Data Privacy Framework List.
> Sono necessari gli altri strumenti di trasferimento previsti dall’art.46 del GDPR per le aziende iscritte nella Data Privacy Framework List?
No, è sufficiente l’adesione al Data Privacy Framework, senza il bisogno di applicare misure supplementari.
> Da quando si applica il nuovo Framework privacy?
Il Framework privacy trova applicazione già dalla Decisione di Adeguatezza, ossia dal 10 luglio 2023.
> Come funziona il trasferimento dati negli USA per le organizzazioni non inserite nella lista?
In tal caso bisogna verificare l’esistenza di garanzie di protezione dei dati adeguate, secondo l’articolo 46 del GDPR, come clausole standard e norme vincolanti per l’impresa.
> Gli interessati possono presentare ricorsi o reclami nei confronti di organizzazioni americane non ritenute conformi?
Il Data Privacy Framework UE – USA prevede diversi meccanismi per presentare ricorsi o reclami nei confronti delle associazioni non ritenute conformi.
Il reclamo può essere presentato direttamente alla propria autorità nazionale per la protezione dei dati, che in Italia è il Garante della Privacy (GDPD).
| Conclusioni
Il Data Protection Framework rappresenta un’opportunità per tutte quelle aziende, (ecommerce, marketplace, social) che operano sul mercato statunitense e trasferiscono dati dall’Europa agli Stati Uniti. Inoltre, riapre la strada alla possibilità di accedere a tool statunitensi in maniera lecita.
Dunque, l’impatto della decisione di adeguatezza è altissimo e potenzialmente positivo ma è chiaro che attualmente non fornisce alcun tipo di certezza.
Ciò che è previsto per il nuovo framework è un riesame dopo un anno dalla decisione di adeguatezza. Il riesame andrà a valutare l’efficacia delle nuove norme e l’effettiva adeguatezza del framework al GDPR anche nel contesto USA.
Tuttavia la questione del trasferimento dati UE-USA è l’ennesima dimostrazione di quanto la conoscenza della normativa possa essere funzionale in termini di marketing. L’adeguatezza del Framework, infatti, permette di utilizzare e analizzare dati raccolti da società statunitensi per le attività promozionali, di marketing o di profilazione
Per sfruttare la normativa a tuo vantaggio, contattaci. Siamo qui per aiutarti a trasformare le norme in veri e propri strumenti di business.
Floriana Capone
L’Avvocato dell’Ecommerce
