Dopo 3 anni dall’invalidazione del Privacy Shield, il 10 Luglio 2023 è stata adottata dalla Commissione Europea la decisione di adeguatezza del Data Privacy Framework per il trasferimento di dati personali da parte di aziende UE verso gli Stati Uniti d’America.

In questo articolo vediamo in cosa consiste il Data Privacy Framework (DPF), quali novità ha introdotto rispetto ai precedenti accordi, come verificare se un’azienda statunitense vi aderisce, e soprattutto cosa cambia per le aziende UE che desiderano utilizzare fornitori di servizi USA (come Meta, Google Analytics, Mailchimp, ecc.) basando la legittimità del trasferimento di dati personali verso gli USA su questa nuova decisione di adeguatezza.

Il Data Privacy Framework (DPF) è il nuovo accordo tra Unione Europea e USA che è stato approvato dalla Commissione Europea il 10 Luglio 2023.

La recente decisione di adeguatezza della Commissione Europea stabilisce che gli USA ora garantiscono (nuovamente) un livello di protezione dei dati personali adeguato, comparabile a quello dell’Unione Europea, per il trasferimento dei dati personali da UE a USA, grazie al nuovo quadro normativo definito con il DPF.

È ora possibile per le aziende Europee ricominciare a trasferire dati personali verso gli Stati Uniti sulla base di questa decisione di adeguatezza, come previsto nel GDPR dall’art. 45, dopo 3 anni a seguito dell’invalidazione nel 2020 del Privacy Shield, riaprendo la possibilità di utilizzare tutti quei servizi e strumenti informatici “US-based” legittimandone l’uso sulla base di questa nuova decisione di adeguatezza.

Ecco un breve riepilogo della cronistoria:

• 16 Luglio 2020: Invalidazione del Privacy Shield
  Invalidazione del Privacy Shield da parte della Corte di Giustizia dell’Unione Europea in relazione alla famosa causa denominata “Schrems II” per mancanza di un adeguato livello di protezione dei dati personali trasferiti da UE a USA.
• Marzo 2022: Annuncio di Von Der Leyen e Biden: nuovo accordo di principio raggiunto per il trasferimento transatlantico dei dati personali di cittadini UE.
• 7 Ottobre 2022: USA: Executive Order presidenziale (EO 1486) sul “Miglioramento delle garanzie per le attività di intelligence dei segnali degli Stati Uniti”. Insieme ai regolamenti emanati dal procuratore generale USA Gardland, l’EO ha permesso di attuare nel diritto statunitense gli impegni assunti dagli USA nel quadro dell’accordo di principio, ed integrato gli obblighi per le aziende USA sulla protezione dei dati personali importati da UE.
• Dicembre 2022: prima bozza di accordo da parte della Commissione Europea, che avvia l’iter approvativo.
• 10 Luglio 2023: Approvazione del DPF da parte della Commissione Europea con effetto immediato.

Il Data Privacy Framework introduce nuove misure di salvaguardia:

• Limitazione di accesso ai dati importati dall’UE da parte dei servizi di intelligence USA a ciò che è “necessario e proporzionato”.
• Le aziende USA che aderiscono al DPF dovranno impegnarsi a rispettare una serie di obblighi, tra cui cancellare i dati personali quando non più necessari per la finalità per cui sono stati raccolti, e garantire una tutela continuativa in caso di trasmissione dei dati a terzi. L’adesione avviene tramite un meccanismo di autocertificazione con l’impegno di aderire ai principi del DPF, ed include il fatto di sottoporsi ai poteri investigativi ed esecutivi del FTC (Federal Trade commission), del DOT (Dipartimento dei trasporti degli Stati Uniti) o di altri organismi legali ne assicureranno il rispetto.
• Introdotto dagli USA un nuovo meccanismo di ricorso a 2 livelli per i cittadini UE, con autorità indipendente e vincolante, con la possibilità di presentare un reclamo in prima battuta al “responsabile della protezione delle libertà civili” della comunità di intelligence statunitense, e in secondo luogo in appello al Tribunale di Revisione della Protezione dei Dati.
• Ai cittadini UE è ora garantito il diritto di accesso ai propri dati, di richiedere rettifiche, cancellare i dati errati o trattati in modo non lecito.
• Sarà previsto un monitoraggio periodico della Commissione Europea sull’accordo, la prima revisione in scadenza entro luglio 2024, dopo 1 anno dall’approvazione.

È possibile verificare direttamente online se un provider statunitense che si desidera utilizzare è presente nella lista delle aziende partecipanti al DPF, accendendo al sito ufficiale https://www.dataprivacyframework.gov/s/participant-search e ricercando il nome dell’azienda.

Sarà necessario appurare se il trasferimento dei dati personali pertinenti è coperto alla voce “Covered Data”, dove ci possono essere 2 categorie di dati:

• HR – dati personali sui dipendenti di un’azienda, raccolti nel contesto del rapporto di lavoro
• Non-HR – altri dati personali non relativi ai dipendenti

La domanda che tutte le aziende e professionisti si stanno ponendo è: ma quindi posso ricominciare subito ad utilizzare qualsiasi servizio o strumento US-based?

Il Data Privacy Framework è stato approvato il 10 Luglio con effetto immediato. Solo 7 giorni dopo, il 17 luglio, è stato pubblicato online il sito https://www.dataprivacyframework.gov con la lista delle aziende USA partecipanti. Ma come è possibile che in 7 giorni si siano già “auto-certificate”?

In realtà il Dipartimento del Commercio degli Stati Uniti ha precisato che le aziende che erano già precedentemente certificate ai sensi del Privacy Shield diventano automaticamente certificate ai sensi del Data Privacy Framework, con la possibilità di fare da subito affidamento sul DPF per l’importazione di dati personali di cittadini UE. Unico vincolo: aggiornare le proprie policy per adeguarsi ai nuovi principi del DPF entro il 10 ottobre 2023, con un “grey-period” di 3 mesi.

Quindi anche se “formalmente” si possono già utilizzare i provider aderenti che erano già certificati Privacy Shield, nella realtà dei fatti non è detto che si siano già adeguati alle nuove disposizioni del DPF, considerando che appunto avranno tempo per farlo entro il 10 ottobre.

Il suggerimento è quello di valutare con il proprio DPO o consulente privacy se attendere il “grey-period” per essere certi di poter utilizzare quel fornitore (una volta che avrà aggiornato la propria privacy policy) utilizzando il DPF come liceità per il trasferimento dei dati personali verso gli USA.

È importante tenere comunque in considerazione il fatto che a luglio 2024 questa nuova decisione di adeguatezza verrà revisionata; ad oggi quindi non c’è certezza sulla sua durata.

Inoltre, il noto attivista Max Schrems di NOYB (che aveva fatto invalidare il Privacy Shield) è già sul piede di guerra con un nuovo ricorso contro il Data Privacy Framework, che ritiene non dia sufficienti garanzie per i cittadini UE, etichettandolo come una semplice “copia” del Privacy Shield. In ogni caso, considerando le tempistiche per la valutazione da parte della Corte di Giustizia Europea, si può presupporre che non avrà conseguenze nel brevissimo periodo.