Quasi esattamente tre anni dopo la sentenza della Corte di Giustizia Europea del 16 luglio 2020 che dichiarò invalida la decisione di adeguatezza della Commissione Europea per il trasferimento dei dati personali da Paesi Membri dell’Unione Europea agli Stati Uniti (cd. US Privacy Shield), lo scorso 10 luglio 2023, la Commissione Europea ha emesso una decisione di adeguatezza sul testo programmatico denominato EU-US Data Privacy Framework (DPF) in relazione al trasferimento di dati personali dall’Unione Europea – inclusi Islanda, Lichtenstein e Norvegia – agli Stati Uniti.
La Commissione ha quindi ritenuto che il DPF, pubblicato dal Dipartimento del Commercio degli Stati Uniti, potrà garantire protezione equivalente e paragonabile a quella offerta dall’Unione Europea in materia di protezione dei dati.
È stato determinante per l’approvazione, l’impegno degli Stati Uniti attraverso un ordine esecutivo sottoscritto dallo stesso Presidente USA, ad attuare delle riforme che rafforzeranno le tutele delle libertà fondamentali e dei diritti civili applicabili alle attività di intelligence e ai relativi sistemi di allerta e segnalazioni, condizionando e limitando quindi l’accesso delle forze dell’ordine statunitensi ai dati personali provenienti dall’UE e istituendo una procedura di ricorso indipendente per dirimere e gestire eventuali reclami da parte di cittadini europei rispetto ad accessi a dati personali per scopi di sicurezza nazionale.
La nuova decisione di adeguatezza
A partire dal 10 luglio 2023, quindi, le società statunitensi che intenderanno offrire servizi connessi al trattamento di dati personali ad entità europee, potranno aderire al DPF, tramite un processo di certificazione, impegnandosi a rispettare diversi obblighi in materia di trattamento e protezione dei dati personali.
Eppure, in questi anni di attesa di una nuova decisione di adeguatezza, le imprese italiane ed europee hanno continuato a trasferire dati personali verso gli Stati Uniti in ragione delle rispettive esigenze di business e/o di operatività, attraverso altri strumenti di trasferimento indicati dal GDPR e c’è quindi da chiedersi come agire e reagire da un punto di vista concreto a questa nuova decisione di adeguatezza.
Gli strumenti utilizzati finora
Gli strumenti utilizzati sino ad oggi dagli operatori sono stati le cosiddette clausole contrattuali standard: in sostanza, l’azienda italiana, che accedeva, ad esempio, ad un servizio di cloud computing per la conservazione di dati personali ubicato negli Stati Uniti, doveva premurarsi di concludere anche un contratto per la protezione dei dati personali trasferiti includendo tra le previsioni, appunto, anche le clausole contrattuali standard, che costituiscono un insieme di obblighi e garanzie fornite dall’operatore statunitense a quello italiano, sulle modalità di trattamento dei dati, protezione, misure organizzative e di sicurezza, verificando periodicamente che l’operatore statunitense rispettasse gli impegni presi. Prima della conclusione del rapporto contrattuale e, quindi del trasferimento, era richiesta anche una valutazione di impatto del trasferimento (TIA) ossia dei rischi per la protezione dei dati personali una volta trasferiti al fornitore prescelto, verificando innanzi tutto l’adeguata organizzazione del fornitore.
Cosa devono fare ora le imprese italiane
Che ne viene di tali accordi con soggetti statunitensi fornitori di servizi che comprendono la raccolta, il trattamento e la conservazione dei dati?
Le risposte possibili appaiono al momento due, a seconda che il fornitore statunitense, sia o meno certificato DPF. Qualora non lo fosse – e vedremo a breve come verificare se una società americana abbia ottenuto l’autocertificazione e quali siano i requisiti – l’impresa italiana, dovrà prudentemente rivedere i contenuti dell’accordo della protezione dei dati e relative clausole contrattuali standard e verificare che siano in linea con i contenuti della decisione di adeguatezza del 10 luglio 2023, integrando se il caso, i maggiori obblighi e garanzie previste, in altre parole, rafforzando l’accordo di protezione dei dati personali trasferiti e, per completezza, ripetendo la valutazione di impatto del trasferimento dove opportuno al fine di verificare alla luce delle novità normative – la tenuta – quanto a sicurezza e organizzazione – del fornitore scelto.
Se il fornitore non si rende disponibile a sottoscrivere tali accordi “rinforzati” ovvero non intenda (o non possa) aderire alla procedura di autocertificazione, il consiglio sarà quello di optare per una realtà che sia grado di dare tali garanzie, con o senza autocertificazione, per quanto, vi siano diverse ragioni per optare per un operatore autocertificato.
Il percorso di verifica
La ragione principale risiede proprio nel percorso di verifica che non dovrà essere più svolto dall’imprenditore italiano, con tutti i rischi e limiti del caso, ma dall’ente che approva le autocertificazioni. Il DPF sarà infatti gestito dal Dipartimento del Commercio degli Stati Uniti, che elaborerà le richieste di certificazione e vigilerà a che le imprese partecipanti continuino a soddisfare i requisiti di certificazione. Inoltre, il DPF sarà soggetto a revisione periodica, la prima sarà ad un anno dall’adozione della decisione di adeguatezza da parte sia della stessa Commissione Europea che da parte delle Autorità Garanti Europee.
L’imprenditore italiano, potrà quindi limitarsi a verificare se il fornitore corrente o potenziale, risulti in possesso di autocertificazione; se così sarà, il trasferimento dei dati personali verso tale entità USA, sarà sicuramente legittimo.
L’impegno a rispettare i principi del DPF dovrà risultare espressamente almeno nelle informative sulla privacy dei fornitori statunitensi. Anche l’imprenditore italiano dovrà aggiornare le proprie informative privacy, indicando espressamente l’utilizzo di fornitori che aderiscono al DPF. Inoltre, gli interessati al trattamento dei dati personali potranno rivolgersi direttamente al soggetto statunitense per ricevere informazioni in relazione ai dati personali trattati, assimilabili ai diritti esercitabili ai sensi degli articoli 18 e seguenti del RGPD. La garanzia della possibilità di esercitare tali diritti è tra i requisiti per poter ottenere l’autocertificazione.
Quali organizzazioni Usa potranno aderire al DPF
Tuttavia, non tutte le organizzazioni statunitensi potranno – al momento – aderire al DPF. Occorre infatti precisare che solo le organizzazioni soggette alla giurisdizione della Federal Trade Commission (FTC) o del Dipartimento dei Trasporti degli Stati Uniti (DOT) possono attualmente partecipare al programma DPF. La FTC non ha giurisdizione sulla maggior parte degli istituti di deposito (banche, cooperative di credito federali e istituti di risparmio e prestito), sulle attività dei vettori comuni di telecomunicazioni e di trasporto interstatale, sulle associazioni sindacali, sulla maggior parte delle organizzazioni senza scopo di lucro e sulla maggior parte delle attività degli imballatori e degli allevamenti. Inoltre, la giurisdizione della FTC in materia di attività assicurative è limitata a determinate circostanze. Il DOT ha giurisdizione esclusiva sui vettori aerei statunitensi e stranieri.
In caso di dubbi, è possibile contattare l’International Trade Administration (ITA) del Dipartimento del Commercio degli Stati Uniti. Qualora la realtà italiana dovesse trasferire dati a soggetti non sottoposti alla giurisdizione della FTC o del DOT, continueranno a trovare applicazione le clausole contrattuali standard con gli accorgimenti sopra descritti.
Conclusioni
È importante ricordare infine, che l’adesione al DPF da parte di un soggetto americano, esaurisce la verifica di liceità e legittimità del trasferimento ma non esaurisce gli adempimenti dovuti e richiesti dal GDPR a seconda del rapporto che andrà instaurarsi tra il soggetto esportatore dei dati personali e l’importatore statunitense. In primo luogo, se il rapporto contrattuale intercorrente tra soggetto esportatore e soggetto importatore è fondato sul trasferimento, trattamento e conservazione dei dati personali – come per il caso di servizi di cloud computing – rimarrà obbligatorio da parte dell’esportatore italiano titolare del trattamento, designare per iscritto il fornitore responsabile del trattamento dei dati. Se i dati personali da trasferire, dovessero ricadere tra le categorie particolari di dati per cui è richiesta una valutazione di impatto sulla protezione degli stessi, la valutazione dovrà essere predisposta in ogni caso. Così come non sono esenti dall’adesione del DPF, ovvero dal rispetto di altro strumento contrattuale previsto dal GDPR, le norme vincolanti l’impresa, i trasferimenti di dati personali intragruppo verso la casa madre e/o partecipate e/o controllate USA.
