Lo scorso 10 luglio, dopo tre anni di tentativi quasi fallimentari, finalmente la Commissione Europea ha adottato una decisione di adeguatezza sul quadro normativo UE-USA in materia di protezione dei dati personali, il cosiddetto “Data Privacy Framework” (“DPF”) superando (?) le criticità che avevano portato la Corte di Giustizia Europea ad invalidare il precedente accordo di adeguatezza – il cosiddetto “Privacy Shield” – nel 2020.
A contribuire al superamento dell’impasse negoziale, gli interventi normativi posti in essere dal legislatore statunitense, il quale ha introdotto i criteri di necessità e proporzione rispetto alla finalità della tutela della sicurezza nazionale quali limiti alle autorità di pubblica sicurezza USA per accedere alle informazioni personali degli interessati europei.
Le novità del Data Privacy Framework
Tra le novelle introdotte dal nuovo accordo vi è l’istituzione di una corte indipendente chiamata a giudicare nel merito gli eventuali ricorsi riguardanti la raccolta e l’utilizzo dei dati da parte delle agenzie di intelligence statunitensi e, se del caso, a bloccare tali trattamenti se effettuati in modo illegittimo.
I nuovi rapporti UE-USA saranno inoltre fondati su un sistema di autocertificazione sulla base del quale ogni organizzazione statunitense che avrà intenzione di trattare i dati personali dei cittadini europei dovrà dichiarare di godere dei requisiti richiesti dalla nuova normativa ed impegnarsi a rispettare i principi in materia di protezione dei dati personali previsti dal Regolamento (UE) 2016/679 (“GDPR”) e dal DPF.
A tal fine, per partecipare al programma di lavori del DFT – coordinato dall’“International Trade Administration” (“ITA”) del Dipartimento del Commercio degli Stati Uniti – le organizzazioni “adeguate” con sede negli Stati Uniti dovranno registrarsi tramite l’apposito sito online istituito per consentire agli importatori statunitensi di dati di autocertificare la propria conformità ai sensi del DPF UE-USA.
Sebbene la decisione di un’organizzazione idonea con sede negli Stati Uniti di autocertificare la propria conformità al programma DPF sia volontaria, l’effettiva conformità all’atto dell’autocertificazione è obbligatoria. Una volta che tale organizzazione avrà autocertificato all’ITA e dichiarato pubblicamente il proprio impegno ad aderire ai Principi DPF, tale vincolo è valido ed efficace ai sensi della legge statunitense. Gli obblighi di tali organizzazioni nel rispetto dei principi DPF UE-USA in relazione ai trasferimenti di dati personali devono essere riportati nelle autocertificazioni presentate all’ITA e, al momento opportuno, nelle relative privacy policy.
Il Data Privacy Framework List
L’International Trade Administration, oltre a verificare i requisiti delle organizzazioni che effettuano la registrazione, sarà tenuta a redigere ed aggiornare, con cadenza annuale, il c.d. Data Privacy Framework List, il registro contenente l’elenco delle organizzazioni c.d. “certificate” – consultabile online anche dagli esportatori europei dei dati.
Ciò al fine di: i) verificare l’esistenza e la permanenza dei requisiti in capo alle organizzazioni iscritte; ii) espungere i soggetti sprovvisti dei requisiti di adeguatezza richiesti per ottenere il rinnovo della certificazione annuale e/o coloro che agiscono in violazione del DPF.
L’ITA, inoltre, sarà chiamata a redigere e mantenere aggiornato – nonché a rendere disponibile online sul sito web del Dipartimento del Commercio degli Stati Uniti dedicato al DPF – apposito registro contenente l’elenco delle organizzazioni statunitensi rimosse dalla Data Privacy Framework List con l’indicazione del motivo specifico a monte della decisione di esclusione.
Qualsiasi organizzazione rimossa dal su menzionato elenco sarà tenuta ad interrompere immediatamente qualsiasi attività di trattamento dei dati personali degli utenti europei e richiamare qualsiasi precedente dichiarazione di adeguatezza rispetto agli standard previsti dall’accordo UE-USA in materia di trasferimento dei dati personali. Gli enti non adeguati saranno, tuttavia, chiamati ad applicare i principi del Data Privacy Framework su tutti i dati personali precedentemente e legittimamente importati per il periodo di conservazione previsto dal trattamento.
I requisiti richiesti alle organizzazioni importatrici di dati personali con sede negli Usa
In ossequio ai principi di trasparenza e leale collaborazione, le organizzazioni che intendono certificarsi ai sensi del DPF dovranno rispettare una serie di obblighi informativi, tra cui, a titolo esemplificativo, includere, nella propria informativa privacy: i) una dichiarazione dell’impegno dell’organizzazione partecipante a rispettare i principi DPF, in modo che tale obbligo diventi esecutivo sulla base di quanto stabilito dalla legge statunitense; ii)uncollegamento ipertestuale al sito web del programma DPF del Dipartimento del commercio degli Stati Uniti; iii) l’indicazione, in una forma chiara e semplice, dei diritti riconosciuti agli interessati dal trattamento dei dati, tra cui il diritto di accesso ai propri dati personali; dell’obbligo di divulgare informazioni personali in risposta a richieste legittime da parte delle autorità pubbliche; della responsabilità dell’organizzazione partecipante in caso di trasferimento successivo dei dati a terzi.
Le organizzazioni dovranno, inoltre, collaborare con l’ITA, rispondendo adeguatamente e tempestivamente alle richieste di informazioni eventualmente formulate dall’autorità del Dipartimento del commercio degli Stati Uniti a seguito di un reclamo presentato da un interessato, garantendo il rispetto dei principi di necessità del trattamento, di limitazione delle finalità e della conservazione dei dati.
Cosa fare se l’organizzazione importatrice di dati non è registrata presso l’International Trade Administration
Diversamente da quanto accade nel caso in cui un paese sia dotato di decisione di adeguatezza da parte della Commissione Europea, nel caso del Data Protection Framework, come anticipato, affinché l’accordo sia ritenuto efficace per gli importatori dei dati, è necessario che ogni organizzazione dichiari di essere adeguata rispetto alle previsioni contenute nel nuovo accordo UE-USA e di rispettare i requisiti richiesti ai fini della liceità dei trattamenti effettuati sui dati degli interessati europei. Per queste ragioni, nel caso in cui l’importatore dei dati con sede negli Stati Uniti non figurasse nel Data Privacy Framework List – perpropria volontà o per l’inadeguatezza dei propri strumenti – un eventuale trasferimento dei dati personali sarà lecito e possibile solo mediante ricorso agli altri strumenti previsti dal Titolo V del GDPR in materia di trasferimento dei dati al di fuori del territorio europeo, quali le “Standard Contractual Clauses” (“SCC”).
Attuazione programmatica e meccanismo di riesame da parte della Commissione Europea
Il primo riesame da parte della Commissione europea, volto a verificare il corretto recepimento del Data Privacy Framework nel quadro giuridico statunitense ed il suo adeguato funzionamento, è previsto già per il prossimo anno.
Successivamente al primo riesame è stabilito un piano di revisione periodica dell’accordo, almeno quadriennale stabilito di concerto con gli Stati membri dell’UE e con le autorità nazionali per la protezione dei dati.
