Sembrerebbe essere tutto risolto per il trasferimento dei dati personali negli Stati Uniti; eppure, le organizzazioni devono porre molta attenzione allo stesso perché, sebbene il Data Privacy Framework rappresenti una grande opportunità, l’insidia è sempre dietro l’angolo.
Il quadro storico
Sono passati diversi anni da quel famoso 16 luglio 2020, giorno in cui la Corte di Giustizia dell’Unione Europea, con la storica sentenza Schrems II (C-311/18 – Data Protection Commissioner/Maximilian Schrems e Facebook Ireland), ha dichiarato invalida la Decisione n. 2016/1250 della Commissione sull’adeguatezza della protezione offerta dal Privacy Shield in ordine ai trasferimenti dei dati personali UE-USA.
La Corte rilevava come i penetranti poteri di accesso e di utilizzo dei dati da parte delle autorità statunitensi, per esigenze legate alla tutela della sicurezza nazionale, travalicassero i limiti e le garanzie previste dalla normativa europea in materia di protezione dei dati personali, il Regolamento UE n. 2016/679 (di seguito anche “GDPR”). Utile ricordare il Comunicato Stampa n. 91/2020 della Corte del 16 luglio 2020 in cui così veniva riportato: “Secondo la Corte, le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autorità statunitensi, di siffatti dati trasferiti dall’Unione verso tale Paese terzo, e che sono state valutate dalla Commissione nella decisione 2016/1250, non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dal principio di proporzionalità, giacché i programmi di sorveglianza fondati sulla suddetta normativa non si limitano a quanto strettamente necessario. Fondandosi sulle constatazioni che compaiono in tale decisione, la Corte rileva che, per taluni programmi di sorveglianza, da detta regolamentazione non emerge in alcun modo l’esistenza di limiti all’autorizzazione, in essa contenuta, dell’attuazione di tali programmi e neppure l’esistenza di garanzie per gli stranieri che possono esserne potenzialmente oggetto. La Corte aggiunge che la stessa normativa, pur se prevede requisiti che devono essere rispettati dalle autorità statunitensi nell’attuare i programmi di sorveglianza considerati, non conferisce agli interessati diritti nei confronti delle autorità statunitensi azionabili dinanzi ai giudici.”
La corsa ad ostacoli per scongiurare l’inevitabile
Una cosa però era certa, “Con la sua sentenza odierna, la Corte constata che, dall’esame della decisione 2010/87 alla luce della Carta dei diritti fondamentali (in appresso “la Carta”), non è emerso alcun elemento idoneo ad inficiarne la validità […]” e pertanto la sentenza giudicava valida la Decisione n. 2010/87/CE relative alle clausole contrattuali tipo per il trasferimento di dati personali in Paesi terzi (nel prosieguo anche “SCC”). Ciò in quanto il GDPR, come ormai noto, prevede agli artt. 46 e ss. i meccanismi da adottare nel caso di trasferimento al di fuori dell’Unione Europea, in mancanza di una decisione di adeguatezza prevista dall’art. 45 del GDPR.
Da quel momento, come ben noto agli addetti ai lavori (e non solo), è partita la corsa ad ostacoli per scongiurare l’inevitabile: il diritto e le prassi degli Stati Uniti non assicuravano una protezione sufficiente contro l’accesso, da parte delle pubbliche autorità, ai dati trasferiti verso tale paese e la decisione di adeguatezza prevista dal Privacy Shield non poteva più essere utilizzata come fondamento giuridico per legittimare il trasferimento dei dati personali fuori dall’UE.
E quindi cosa fare? In tale contesto è arrivata da parte delle istituzioni un ancora di salvataggio. Basti pensare all’aggiornamento al GDPR delle SCCs (standard contractual clauses) con la Decisione di esecuzione (UE) n. 2021/914 della Commissione Europea del 4 giugno 2021, alle “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data – Version 2.0” dell’EDPB (European Data Protection Board) adottate il 18 giugno 2021, per non dimenticare le Faq rilasciate il 25 maggio 2022.
Ciò nonostante, gli strumenti giuridici disponibili – in mancanza di una effettiva attuazione del principio di accountability da parte delle imprese – non erano sufficienti a risolvere la situazione.
Infatti, la situazione è stata resa infatti ancora più complessa dai provvedimenti delle Autorità di controllo sulla non conformità dei trasferimenti dei dati personali verso gli Stati Uniti, adottati sul presupposto che nonostante l’adozione delle SCC, le stesse non erano state adottate in modo tale da poter garantire un livello adeguato di protezione dei dati.
A tal proposito, è utile ricordare come il Garante per la Protezione dei dati personali con il provvedimento n. 224 del 9 giugno 2022 [doc. web n. 9782890] abbia dichiarato l’illiceità del trattamento dei dati personali degli utenti, in violazione delle disposizioni del GDPR, tra cui quelle sul trasferimento dei dati personali, ordinando la sospensione dei flussi di dati personali verso gli Stati Uniti: “Alla luce di quanto complessivamente sopra rappresentato, pertanto, le misure supplementari adottate nel caso di specie non possono considerarsi adeguate con conseguenziale illiceità, ai sensi dell’art. 44 e dell’art. 46 del Regolamento, dei relativi trasferimenti di dati personali verso gli Stati Uniti.”
Il Data Privacy Framework
La situazione era piuttosto complessa: non essendo più valido il Privacy Shield, le società che effettuavano trasferimenti di dati personali verso gli Stati uniti hanno potuto ripiegare (quasi) solo sulle Standard Contractual Clauses. Tuttavia, come detto, queste non erano in grado di garantire un livello adeguato di protezione. A chiudere questo triste quadro ci hanno pensato alcune grandi aziende statunitensi, con dichiarazioni minacciose di ritirarsi dal mercato europeo.
In sostanza, non si vedevano soluzioni.
Un “impasse” normativo che ha costretto l’amministrazione americana a fare un passo formale in avanti per provare a superare le numerose difficoltà tecniche e giuridiche sorte dalla sentenza della Corte. L’approccio risolutivo comune da parte delle istituzioni USA e UE, sempre costeggiato nel cammino da incertezze, passi indietro e zone d’ombra, ha condotto la Commissione Europea, in data 10 luglio 2023, ad adottare la “COMMISSION IMPLEMENTING DECISION of 10.7.2023 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate level of protection of personal data under the EU-US Data Privacy Framework”.
In sostanza, l’art. 1 del nuovo accordo “EU-US Data Privacy Framework così recita: “For the purpose of Article 45 of Regulation (EU) 2016/679, the United States ensures an adequate level of protection for personal data transferred from the Union to organisations in the United States that are included in the ‘Data Privacy Framework List’, maintained and made publicly available by the U.S. Department of Commerce, in accordance with Section I.3 of Annex I.”
A distanza di pochi giorni, per la precisione in data 17 luglio 2023, il Governo americano ha messo a disposizione il nuovo sito istituzionale del programma Data Privacy Framework, dismettendo così il precedente, creato per il programma del Privacy Shield. Nel sito attuale, infatti, risulta già operativa la sezione dedicata alla Lista delle organizzazioni (“Data Privacy Framework List”) che hanno già aderito al nuovo programma.
Le questione che le aziende devono considerare
Sorge quindi una domanda spontanea: quindi adesso è tutto risolto? La risposta, sebbene di segno positivo, non deve indurre però in errore le aziende.
A tal proposito, è intervenuto il 18 luglio 2023 l’EDPB, con la pubblicazione di una nota informativa sul nuovo EU-US Data Privacy Framework, che fornisce alcuni chiarimenti sulle implicazioni della decisione di adeguatezza per gli interessati nell’UE e per gli enti che trasferiscono dati personali dall’UE agli Stati Uniti.
In particolare, l’EDPB rileva per le organizzazioni due importanti questioni da tenere in considerazione:
La prima è che a partire dal 10 luglio 2023, i trasferimenti dall’UE a organizzazioni negli USA incluse nel “Data Privacy Framework List” possono basarsi sulla decisione di adeguatezza, senza dover ricorrere agli strumenti di trasferimento previsti dall’art. 46 del GDPR. Tale assunto porta alla conclusione che i trasferimenti basati sulla decisione di adeguatezza non devono essere integrati da misure supplementari (l’EDPB rimanda alle spiegazioni fornite in merito dalla Commissione);
La seconda tematica concerne il fatto che i trasferimenti a organizzazioni negli USA che non sono incluse nel “Data Privacy Framework List” non possono essere basati sulla decisione di adeguatezza e richiederanno adeguate garanzie per la protezione dei dati, diritti azionabili e rimedi legali efficaci per gli interessati (ad esempio, SCC), in conformità all’art. 46 del GDPR. In questo caso, però l’EDPB sottolinea che le garanzie messe in atto dal governo statunitense nell’ambito della sicurezza nazionale (compreso il meccanismo di ricorso) si applicano a tutti i dati trasferiti negli Stati Uniti, indipendentemente dallo strumento di trasferimento utilizzato. Pertanto, nel valutare l’efficacia dello strumento di trasferimento scelto ai sensi dell’art. 46 del GDPR, gli esportatori di dati devono tenere conto della valutazione effettuata dalla Commissione nella decisione sull’adeguatezza (considerando (6)-(7)).
Queste sono alcune delle precisazioni fornite dall’EDPB nella nota informativa ma ve ne sono altre altrettanto interessanti tra cui, ad esempio, il fatto che, affinché un reclamo sia ammissibile, le persone non debbano dimostrare che i loro dati siano stati effettivamente raccolti dalle agenzie di intelligence statunitensi.
Gli errori da evitare
Quanto detto, consente all’organizzazione di eseguire le considerazioni del caso, dato che è la stessa a dover effettuare gli opportuni controlli circa l’ubicazione dei fornitori o partner commerciali e gestire correttamente il trasferimento dei dati negli Stati Uniti, evitando quindi di sbagliare sin dall’origine. Tale valutazione dovrà essere effettuata caso per caso anche in ragione delle specificità del contesto del trattamento.
Veniamo ad alcune riflessioni per non commettere errori.
- È stato verificato se il fornitore o il partner commerciale rientri o sia registrato al Data Privacy Framework List?
- L’esportatore ha tenuto in considerazione il caso in cui il fornitore, seppur abbia i sistemi informativi in UE, si avvalga di sub fornitori i cui server sono ubicati negli Stati Uniti?
- Anche se il fornitore risiede in UE, è stato richiesto allo stesso se non vi siano società controllanti o subfornitrici, ubicate negli Stati Uniti, che possono accedere ai dati personali? Attenzione che anche in questo caso, l’esportatore deve verificare se queste ultime aderiscano al Data Privacy Framework List!
- Nel caso in cui l’importatore sia ubicato negli Stati Uniti e non rientri nella Data Privacy Framework List, l’esportatore ha valutato il meccanismo più opportuno per il trasferimento dei dati?
- Nel caso di adozione delle Standard Contractual Clauses, è stato valutato il rapporto intercorrente tra l’esportatore e l’importatore (es. Controller to Processor oppure Controller to Controller o Processor to Controller)?
- L’organizzazione ha eseguito valutazioni mirate per comprendere come avviene il trasferimento dei dati? È opportuno che l’organizzazione conosca nel dettaglio il trasferimento in quanto l’informazione circa il trasferimento dei dati deve essere resa nei confronti dei soggetti interessati”
- L’organizzazione ha in essere una procedura o una metodologia da seguire per la corretta gestione del trasferimento dei dati quali, ad esempio, una Transfer Impact Assessment?
- Sono stati previsti opportuni accorgimenti e cautele al fine di non trasferire dati personali che non siano necessari per la specifica finalità del trattamento? È opportuno, proprio in considerazione del trasferimento dei dati negli Stati Uniti, che l’organizzazione ab origine adotti form/moduli che richiedano le sole informazioni necessarie, distruggendo o eliminando tutto ciò che non sia essenziale.
- L’esportatore ha proceduto ad integrare la documentazione privacy quale ad esempio il Registro dei trattamenti oppure l’informativa sul trattamento dei dati personali? Attenzione a non dimenticare di fornire agli interessati le specifiche informazioni sul trasferimento dei dati personali.
Conclusioni
In conclusione, è compito dell’azienda, a seconda dei casi concreti, eseguire le opportune verifiche e i dovuti controlli al fine di valutare lo strumento adeguato messo a disposizione dal GDPR per il trasferimento dei dati. L’importante è non dimenticare che il filo conduttore per l’impresa resta sempre il principio di accountability, posto che è la stessa che deve essere in grado di dimostrare di essere conforme alla normativa in materia di protezione dei dati personali.
