l’analisi

Trasferimento dati personali Ue-Usa: cosa aspettarsi dal Data Privacy Framework



Indirizzo copiato

Gli interventi normativi posti in essere dal legislatore statunitense hanno consentito alla Commissione Europea di adottare una decisione di adeguatezza sul quadro normativo UE-USA in materia di protezione dei dati personali, il cosiddetto “Data Privacy Framework”. Vediamo le novità e le criticità dell’accordo

Pubblicato il 2 ago 2023

Rossella Bucca

avvocato, Studio Previti associazione professionale

Simona Lanna

avvocato, Studio Previti Associazione Professionale



Business,Data,Analytic,Interface,Fly,Over,Smart,City,Showing,Alteration

Lo scorso 10 luglio, dopo tre anni di tentativi quasi fallimentari, finalmente la Commissione Europea ha adottato una decisione di adeguatezza sul quadro normativo UE-USA in materia di protezione dei dati personali, il cosiddetto “Data Privacy Framework” (“DPF”) superando (?) le criticità che avevano portato la Corte di Giustizia Europea ad invalidare il precedente accordo di adeguatezza – il cosiddetto “Privacy Shield” – nel 2020.

A contribuire al superamento dell’impasse negoziale, gli interventi normativi posti in essere dal legislatore statunitense, il quale ha introdotto i criteri di necessità e proporzione rispetto alla finalità della tutela della sicurezza nazionale quali limiti alle autorità di pubblica sicurezza USA per accedere alle informazioni personali degli interessati europei.

Le novità del Data Privacy Framework

Tra le novelle introdotte dal nuovo accordo vi è l’istituzione di una corte indipendente chiamata a giudicare nel merito gli eventuali ricorsi riguardanti la raccolta e l’utilizzo dei dati da parte delle agenzie di intelligence statunitensi e, se del caso, a bloccare tali trattamenti se effettuati in modo illegittimo.

I nuovi rapporti UE-USA saranno inoltre fondati su un sistema di autocertificazione sulla base del quale ogni organizzazione statunitense che avrà intenzione di trattare i dati personali dei cittadini europei dovrà dichiarare di godere dei requisiti richiesti dalla nuova normativa ed impegnarsi a rispettare i principi in materia di protezione dei dati personali previsti dal Regolamento (UE) 2016/679 (“GDPR”) e dal DPF.

A tal fine, per partecipare al programma di lavori del DFT – coordinato dall’“International Trade Administration” (“ITA”) del Dipartimento del Commercio degli Stati Uniti – le organizzazioni “adeguate” con sede negli Stati Uniti dovranno registrarsi tramite l’apposito sito online istituito per consentire agli importatori statunitensi di dati di autocertificare la propria conformità ai sensi del DPF UE-USA.

Sebbene la decisione di un’organizzazione idonea con sede negli Stati Uniti di autocertificare la propria conformità al programma DPF sia volontaria, l’effettiva conformità all’atto dell’autocertificazione è obbligatoria. Una volta che tale organizzazione avrà autocertificato all’ITA e dichiarato pubblicamente il proprio impegno ad aderire ai Principi DPF, tale vincolo è valido ed efficace ai sensi della legge statunitense. Gli obblighi di tali organizzazioni nel rispetto dei principi DPF UE-USA in relazione ai trasferimenti di dati personali devono essere riportati nelle autocertificazioni presentate all’ITA e, al momento opportuno, nelle relative privacy policy.

Il Data Privacy Framework List

L’International Trade Administration, oltre a verificare i requisiti delle organizzazioni che effettuano la registrazione, sarà tenuta a redigere ed aggiornare, con cadenza annuale, il c.d. Data Privacy Framework List, il registro contenente l’elenco delle organizzazioni c.d. “certificate” – consultabile online anche dagli esportatori europei dei dati.

Ciò al fine di: i) verificare l’esistenza e la permanenza dei requisiti in capo alle organizzazioni iscritte; ii) espungere i soggetti sprovvisti dei requisiti di adeguatezza richiesti per ottenere il rinnovo della certificazione annuale e/o coloro che agiscono in violazione del DPF.

L’ITA, inoltre, sarà chiamata a redigere e mantenere aggiornato – nonché a rendere disponibile online sul sito web del Dipartimento del Commercio degli Stati Uniti dedicato al DPF – apposito registro contenente l’elenco delle organizzazioni statunitensi rimosse dalla Data Privacy Framework List con l’indicazione del motivo specifico a monte della decisione di esclusione.

Qualsiasi organizzazione rimossa dal su menzionato elenco sarà tenuta ad interrompere immediatamente qualsiasi attività di trattamento dei dati personali degli utenti europei e richiamare qualsiasi precedente dichiarazione di adeguatezza rispetto agli standard previsti dall’accordo UE-USA in materia di trasferimento dei dati personali. Gli enti non adeguati saranno, tuttavia, chiamati ad applicare i principi del Data Privacy Framework su tutti i dati personali precedentemente e legittimamente importati per il periodo di conservazione previsto dal trattamento.

I requisiti richiesti alle organizzazioni importatrici di dati personali con sede negli Usa

In ossequio ai principi di trasparenza e leale collaborazione, le organizzazioni che intendono certificarsi ai sensi del DPF dovranno rispettare una serie di obblighi informativi, tra cui, a titolo esemplificativo, includere, nella propria informativa privacy: i) una dichiarazione dell’impegno dell’organizzazione partecipante a rispettare i principi DPF, in modo che tale obbligo diventi esecutivo sulla base di quanto stabilito dalla legge statunitense; ii)uncollegamento ipertestuale al sito web del programma DPF del Dipartimento del commercio degli Stati Uniti; iii) l’indicazione, in una forma chiara e semplice, dei diritti riconosciuti agli interessati dal trattamento dei dati, tra cui il diritto di accesso ai propri dati personali; dell’obbligo di divulgare informazioni personali in risposta a richieste legittime da parte delle autorità pubbliche; della responsabilità dell’organizzazione partecipante in caso di trasferimento successivo dei dati a terzi.

Le organizzazioni dovranno, inoltre, collaborare con l’ITA, rispondendo adeguatamente e tempestivamente alle richieste di informazioni eventualmente formulate dall’autorità del Dipartimento del commercio degli Stati Uniti a seguito di un reclamo presentato da un interessato, garantendo il rispetto dei principi di necessità del trattamento, di limitazione delle finalità e della conservazione dei dati.

Cosa fare se l’organizzazione importatrice di dati non è registrata presso l’International Trade Administration

Diversamente da quanto accade nel caso in cui un paese sia dotato di decisione di adeguatezza da parte della Commissione Europea, nel caso del Data Protection Framework, come anticipato, affinché l’accordo sia ritenuto efficace per gli importatori dei dati, è necessario che ogni organizzazione dichiari di essere adeguata rispetto alle previsioni contenute nel nuovo accordo UE-USA e di rispettare i requisiti richiesti ai fini della liceità dei trattamenti effettuati sui dati degli interessati europei. Per queste ragioni, nel caso in cui l’importatore dei dati con sede negli Stati Uniti non figurasse nel Data Privacy Framework List – perpropria volontà o per l’inadeguatezza dei propri strumenti – un eventuale trasferimento dei dati personali sarà lecito e possibile solo mediante ricorso agli altri strumenti previsti dal Titolo V del GDPR in materia di trasferimento dei dati al di fuori del territorio europeo, quali le “Standard Contractual Clauses” (“SCC”).

Attuazione programmatica e meccanismo di riesame da parte della Commissione Europea

Il primo riesame da parte della Commissione europea, volto a verificare il corretto recepimento del Data Privacy Framework nel quadro giuridico statunitense ed il suo adeguato funzionamento, è previsto già per il prossimo anno.

Successivamente al primo riesame è stabilito un piano di revisione periodica dell’accordo, almeno quadriennale stabilito di concerto con gli Stati membri dell’UE e con le autorità nazionali per la protezione dei dati.

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati