A quattro anni dalla Sentenza Schrems II, che annullò lo Scudo Privacy UE-USA, i trasferimenti di dati personali verso gli Stati Uniti sono ancora un tema aperto, nonostante l’entrata in vigore, nel luglio 2023, del Data Privacy Framework.
La prima revisione della Commissione europea sul Data Privacy Framework
A più di un anno dall’approvazione della Decisione di Adeguatezza, infatti, il Comitato Europeo per la protezione dei dati (EDPB) ha recentemente pubblicato, il 4 novembre 2024, il report relativo alla prima revisione della Commissione Europea sul Data Privacy Framework. È l’articolo 3 della stessa Decisione di adeguatezza, infatti, a prevedere che la Commissione riesamini regolarmente la decisione, e il suo Considerando 212 a contemplare il coinvolgimento di alcuni membri dell’EDPB al processo di riesame. Il report del Comitato si concentra su due aspetti principali, che esamineremo nel dettaglio insieme ai potenziali impatti per i titolari del trattamento nel seguente articolo: da un lato gli aspetti commerciali del DPF; dall’altro l’accesso delle autorità pubbliche statunitensi ai dati personali trasferiti dall’UE agli USA. Infine, il documento si chiude con alcune raccomandazioni relative al monitoraggio degli sviluppi del “Foreign Intelligence Surveillance Act” e ai tempi della prossima revisione da parte della Commissione Europea. Vediamo dunque quali sono, ad oggi, gli adempimenti richiesti alle imprese per trasferire, in maniera GDPR compliant, i dati personali negli USA e quali sviluppi potremmo ragionevolmente attenderci.
A poco più di un anno dall’entrata in vigore del Data Privacy Framework (“DPF”) – il nuovo accordo per il trasferimento di dati personali tra Unione europea e Stati Uniti d’America approvato dalla Commissione Europea il 10 luglio 2023 – l’Europea Data Protection Board (“EDPB”) ha pubblicato, il 4 novembre 2024, il report sulla prima revisione periodica al DPF tenutasi a un anno dalla notifica della decisione di adeguatezza ad opera della Commissione Europea.
Il Comitato ha voluto affrontare due temi cardine per tutte le organizzazioni che trasferiscono dati in USA, vale a dire la valutazione dei risvolti commerciali dell’entrata in vigore dell’accordo, nonché l’annosa questione dell’accesso, da parte delle autorità governative degli Stati Uniti, ai dati personali trasferiti dall’Europa alle organizzazioni che hanno aderito al DPF.
I punti di attenzione e gli adempimenti richiesti alle imprese, alla luce dei rilievi dell’EDPB
Alla luce del report dell’EDPB, il primo tema affrontato dal Comitato è quello dell’impatto dell’entrata in vigore del Data Privacy Framework – presente e, soprattutto, futuro – per tutte le imprese e organizzazioni che trattano dati personali nello Spazio Economico Europeo e che, nel contesto della loro attività, trasferiscono tali dati a provider, partner commerciali, fornitori che sono localizzati negli Stati Uniti.
In questi casi, come noto, il titolare del trattamento dovrà porre in essere tutta una serie di adempimenti, in ottemperanza alle disposizioni del Capo quinto del GDPR.
In prima battuta, il titolare dovrà verificare se il destinatario dei dati abbia aderito o meno al Data Privacy Framework e dunque se il trasferimento sia coperto o meno da Decisione di Adeguatezza. Tale verifica è particolarmente rilevante poiché, in tal caso, l’esportatore/titolare dei dati è esonerato dal redigere la DTIA (Data Transfer Impact Assessment), vale a dire la valutazione dell’impatto del trasferimento sui diritti e le libertà degli interessati – salvo, naturalmente, predisporre il documento nel caso in cui nel trasferimento siano coinvolti sub-responsabili non aderenti al DPF o dislocati in altri paesi non destinatari di una decisione di adeguatezza.
Nel caso in cui, al contrario, l’importatore dei dati non abbia aderito all’Accordo, sarà necessario redigere una DTIA, che tenga conto anche della localizzazione di eventuali sub-responsabili del trattamento nominati dal destinatario dei dati.
Uno degli impatti più rilevanti di questo primo report EDPB risiede proprio nell’esito dell’accertamento relativo all’adesione al DPF. All’interno del report, come vedremo nel dettaglio di seguito, infatti, il Comitato rileva una mancanza di chiarezza rispetto allo status delle organizzazioni la cui certificazione DPF risulti essere scaduta o revocata.
In questi casi, infatti, non è chiaro se i dati trattati da questi soggetti durante il periodo di validità della certificazione sono tati poi cancellati successivamente alla scadenza o alla revoca della certificazione, o se sono stati, al contrario, conservati, vincolando il destinatario – pur non avendo rinnovato la certificazione o avendola revocata – ai principi sanciti dal DPF.
Nel dubbio potrebbe costituire una buona prassi, per tutti i titolari del trattamento che vogliono essere GDPR compliant:
- in prima battuta accertarsi direttamente con il destinatario sulla sorte dei dati trasferiti nell’eventualità di una revoca o della scadenza della certificazione DPF, magari predisponendo una clausola ad hoc nella nomina a responsabile del trattamento o nel data transfer agreement;
- appreso che il destinatario dei dati non aderisce più al DPF, redigere in ogni caso, e preventivamente, la DTIA sul trasferimento.
Questo anche alla luce di una per nulla secondaria circostanza – ben evidenziata anche dal report dell’EDPB- e cioè l’instabilità dell’attuale impianto normativo che regola i trasferimenti tra UE e USA, accentuata ancor più da ulteriori sviluppi che potrebbero essere innescati dall’imminente insediamento del nuovo governo. Vediamo quindi, di seguito, più nel dettaglio i rilievi che l’EDPB ha messo in evidenza nel suo report a supporto dei sopra citati punti di attenzione per tutte le organizzazioni che trasferiscono dati in USA.
Processo di autocertificazione e meccanismi di monitoraggio della conformità al DPF
In merito al primo punto su cui il Comitato ha incentrato il suo report, vale a dire gli aspetti commerciali del DPF, l’EDPB ha rilevato che gli sforzi del Dipartimento hanno senz’altro contribuito a chiarire i requisiti di certificazione per le aziende e aumentato la fiducia di un numero crescente di aziende che si certificano ai sensi del DPF. Questo soprattutto perché, in questo primo anno di vita dell’Accordo, il Dipartimento del Commercio degli Stati Uniti si è concentrato sull’implementazione del processo di auto-certificazione delle organizzazioni destinatarie di dati dall’Unione, nonché sulla creazione di un nuovo sito web, sull’aggiornamento delle procedure, e sull’interazione con le aziende nonché altre attività di sensibilizzazione,
D’altro canto, il Comitato ha espresso la sua preoccupazione in merito alla mancanza di un meccanismo di supervisione d’ufficio e di azioni di esecuzione strutturali, sia da parte dello stesso Dipartimento del Commercio, sia da parte della Federal Trade Commission e del Dipartimento dei Trasporti degli Stati Uniti, per quanto riguarda la conformità sostanziale delle organizzazioni certificate con tutti i Principi del DPF, lacuna che era già stata rilevata a suo tempo per il Privacy Shield. Sebbene abbia rilevato l’utilità di strumenti – già previsti dal Privacy Shield e ora riproposti dal DPF per monitorarne la conformità ai principi – come controlli a campione, questionari di revisione della conformità e la possibilità di richiedere informazioni alle aziende certificate, e sebbene abbia accolto con favore i piani del Dipartimento del Commercio statunitense di implementare meccanismi di controllo della conformità automatizzati, l’EDPB ha sottolineato che i mezzi automatizzati possono integrare ma non sostituire le indagini individuali e la valutazione case by case.
Sul punto, dunque, l’EDPB ha già lanciato un monito: le prossime revisioni si concentreranno proprio sulla necessità di implementare attività di monitoraggio della conformità all’Accordo non solo automatizzate, ma anche d’ufficio.
Un ulteriore rilievo dell’EDPB, sempre in tal senso, riguarda l’attività di monitoraggio – anche in questo caso a tratti lacunosa secondo il Comitato – del Dipartimento del Commercio sulle organizzazioni che si ritirano attivamente dal DPF o lasciano scadere la loro certificazione. L’Accordo prevede infatti che in caso di scadenza o revoca della certificazione, il Dipartimento del Commercio verifichi se l’organizzazione – che a quel punto non risulta più aver aderito al DPF e che quindi non è più dotata della copertura necessaria a garantire la sicurezza dei trasferimenti in USA – abbia eliminato o conservato i dati oggetto di trasferimento, in tale secondo caso rimanendo vincolata al rispetto dei principi del DPF. Tuttavia, rileva il Comitato, ad oggi il sito web del DPF non fornisce alcuna informazione in merito all’avvenuta cancellazione (o alla conservazione) dei dati da parte delle organizzazioni che non hanno rinnovato – o che hanno revocato – l’adesione all’Accordo.
Sviluppi legali rilevanti negli Stati Uniti
Un aspetto non trascurato dall’EDPB è stata la circostanza per cui, a far data dall’entrata in vigore del DPF, si sono avvicendati numerosi sviluppi in materia di privacy nel quadro giuridico statunitense.
In particolare, l’EDPB ha accolto con favore il fatto che venti degli Stati federati hanno nell’ultimo anno emanato leggi complete in materia di privacy, nove delle quali già entrate in vigore (è il caso di California, Colorado, Oregon, Virginia, Connecticut, Utah, Montana, Texas e Florida).
D’altra parte, l’EDPB è realista sulle pressocchè nulle probabilità di emanazione di una legge federale sulla protezione dei dati – tenuto conto dell’imminente passaggio di consegne del governo americano, che influirà peraltro sulla composizione attuale di Congresso e Senato (ndr) – pur ribadendone la necessità: l’approvazione di una robusta legge federale sulla protezione dei dati negli Stati Uniti giocherebbe, infatti, un ruolo positivo nel garantire la stabilità di una decisione di adeguatezza in relazione agli Stati Uniti. Stabilità che, al momento, è lontana dall’essere raggiunta.
L’EDPB ha anche sottolineato l’importanza di garantire che il DPF o il sistema legale degli Stati Uniti forniscano garanzie legali specifiche agli individui i cui dati personali sono trasferiti dall’UE ai sensi della Decisione e che sono poi soggetti a decisioni che producono effetti legali che li riguardano e che si basano esclusivamente sul trattamento automatizzato dei loro dati personali.
Sebbene tali garanzie legali non derivino dal DPF stesso e ci siano solo garanzie specifiche fornite da alcune leggi in aree specifiche degli Stati Uniti, l’EDPB ha accolto con favore l’aumento dei controlli contro la discriminazione e i pregiudizi nei sistemi automatizzati in casi di danno sostanziale ai consumatori.
L’EDPB accoglie anche con favore il fatto che 17 Stati degli Stati Uniti abbiano adottato legislazioni che affrontano il trattamento automatizzato dei dati personali e generalmente consentono opt-out per determinati tipi di decisioni basate sulla “profilazione”.
L’accesso ai dati trasferiti dall’Europa da parte delle autorità Usa
Una delle questioni più spinose connessa al tema del trasferimento dei dati dall’Europa agli Stati Uniti è quella della possibilità, per le autorità governative statunitensi, di accedere ai dati trasferiti negli USA per finalità di intelligence. Il tema era stato rilevato, come ampiamente noto, dalla Corte di Giustizia all’interno della Sentenza Shrems II, che aveva condotto all’invalidazione del Privacy Shield. Ad oggi, per quanto si siano succeduti diversi interventi normativi che hanno, di fatto, incrementato il livello di tutela dei dati personali – ci si riferisce in particolare all’Ordine Esecutivo 14086 sul potenziamento delle garanzie per le attività di intelligence, il quale ha introdotto i concetti di necessità e proporzionalità nel quadro giuridico statunitense sull’intelligence e implementato un nuovo meccanismo di ricorso di cui gli individui possono avvalersi – l’EDPB ha espresso la sua preoccupazione, da un lato in merito all’effettiva implementazione delle garanzie previste dall’Ordine Esecutivo 14086 e, dall’altro, sulle modalità di accesso del governo ai dati personali per scopi di sicurezza nazionale.
In merito a quest’ultimo punto, nel report l’EDPB ha identificato, come aspetto problematico nel regime attuale sull’accesso ai dati da parte del governo, che il quadro giuridico statunitense, quando consente la raccolta di dati in massa, non prevede né il requisito di autorizzazione preventiva da parte di un’autorità indipendente, come richiesto dalla giurisprudenza della Corte Europea dei Diritti dell’Uomo (CEDU), né una revisione indipendente sistematica ex post da parte di un tribunale o di un organismo altrettanto indipendente. La prima revisione periodica non ha fornito nuove informazioni o sviluppi che influenzino l’analisi precedente dell’EDPB a questo riguardo. Pertanto, l’EDPB mantiene la sua preoccupazione sollevata all’epoca. Inoltre, l’EDPB ritiene che la recente giurisprudenza della CEDU supporti ulteriormente la sua posizione, poiché la Corte ha nuovamente sottolineato l’importanza dell’autorizzazione preventiva indipendente delle misure di sorveglianza segreta.
Gli scenari per le aziende
L’EDPB ha accolto con favore gli sforzi compiuti dalle autorità statunitensi e dalla Commissione per implementare il DPF, in particolare per quanto riguarda le vie di ricorso per gli individui dell’UE ai sensi dei Principi del DPF. Tuttavia, come evidenziato, ha identificato una serie di punti che richiedono ulteriori chiarimenti, attenzione o preoccupazione.
Dovremo quindi aspettarci un ulteriore ribaltamento dell’attuale assetto normativo che disciplina i trasferimenti dall’Europa agli Stati Uniti?
Certamente, in vista degli ulteriori sviluppi futuri sul punto, è bene che le organizzazioni che trasferiscono dati in USA valutino attentamente l’impatto di ogni trasferimento, concentrandosi in modo particolare sul livello di adeguatezza, rispetto al DPF, del destinatario dei dati e che continuino a monitorare, anche a distanza di tempo rispetto alla prima valutazione del trasferimento, che lo status di adesione all’Accordo sia stato conservato dall’organizzazione che riceve i dati.
