Accordo UE-USA sul trasferimento di dati: le conseguenze per entità e aziende

Per i non addetti ai lavori o che non hanno avuto modo di seguire tutte le fasi, è fondamentale fornire un contesto. L'articolo 45 del Regolamento UE 2016/679 (noto come "GDPR") autorizza il trasferimento di dati personali verso un paese terzo (cioè situato al di fuori dello Spazio Economico Europeo), purché la Commissione europea abbia stabilito che tale paese offra un livello di protezione adeguato. Questo implica, come sottolineato al punto 104, che il paese terzo dovrebbe garantire un livello di protezione "sostanzialmente equivalente" a quello offerto all'interno dell'Unione, mediante:

1. un controllo indipendente effettivo della protezione dei dati,
2. meccanismi di collaborazione con le autorità di sicurezza dei dati dei paesi membri e
3. Il riconoscimento dei diritti reali ed esercitabili a favore dei soggetti interessati, insieme a un valido strumento di ricorso sia in ambito amministrativo che giudiziario.

A luglio 2020, la nota decisione relativa al caso C-311/18 (conosciuto come Schrems II), la Corte di Giustizia dell'Unione Europea ha annullato la decisione riguardo all'adeguatezza della protezione fornita dal programma dello scudo della privacy UE-USA (noto come Privacy Shield). La sentenza è stata motivata, fra le altre cose, dalla presenza di norme nel diritto americano che privilegiavano la sicurezza nazionale, utilizzando forme di monitoraggio e controllo sulla popolazione, a scapito della tutela dei dati personali. Pertanto, anche gli altri strumenti che precedentemente potevano essere usati per assicurare un trasferimento sicuro (le Clausole Contrattuali Standard e le Regole Aziendali Vincolanti), sono stati fortemente messi in dubbio. Dopo l'annullamento del Privacy Shield, infatti, ci sono stati numerosi interventi da parte delle autorità di controllo europee, che hanno imposto un blocco dei trasferimenti e hanno mandato dei moniti ai titolari dei dati che utilizzavano servizi situati negli Stati Uniti.

Gli eventi che hanno portato alla storica decisione

Nel marzo 2022, gli Stati Uniti e la Commissione Europea hanno ufficializzato il loro impegno per istituire un nuovo "Trans-Atlantic Data Privacy Framework", un sistema regolatorio internazionale che potrà affrontare le preoccupazioni emerse in seguito al verdetto della Corte di Giustizia dell'UE.

Successivamente, in ottobre, il Presidente Biden ha firmato un decreto esecutivo per mettere in atto nuove misure di protezione per la privacy e i diritti civili, a seguito delle quali sono state introdotte nuove procedure per regolare le attività di intelligence dei servizi segreti.

Nel dicembre 2022 è stata pubblicata la bozza del provvedimento di adeguatezza della Commissione, riveduta in seguito al parere dell'EDPB nel marzo 2023, e infine adottata, dopo l'approvazione dei membri dell'UE pochi giorni fa. La recente decisione di adeguatezza ha preso effetto immediatamente a partire dal 10 luglio 2023.

Cosa cambia?

Affrontiamo il cuore del problema esaminando in dettaglio le numerose nuove caratteristiche presentate nelle 137 pagine della decisione.

• Il meccanismo di certificazione. Inizialmente, la nuova Struttura per la Protezione dei Dati (o per semplicità "DPF" o "Struttura") si basa su un processo che permette alle aziende americane di ottenere una certificazione, formalizzando il loro impegno nel rispettare alcune responsabilità e principi di privacy: legalità, onestà e trasparenza, limitazione degli scopi, minimizzazione dei dati gestiti, precisione dei dati, sicurezza e integrità dei dati, responsabilità, ecc. (vedi par. 2.2 e allegato 1 alla decisione);
• La “(Re-)certification” periodica. Il DPF richiede il rinnovo della certificazione ogni anno;
• I requisiti di certificazione. Per conseguire la certificazione, le aziende statunitensi devono essere sottoposte all'autorità di indagine e controllo della Federal Trade Commission (FTC) o del Department of Transportation (DoT) degli Stati Uniti.
• I meccanismi di supervisione. Il Modello include strumenti di monitoraggio per verificare e assicurare, anche mediante processi punitivi, che le organizzazioni partecipanti aderiscano alle norme e che venga presa in considerazione ogni possibile violazione della conformità.
• La cooperazione. Il Framework stabilisce le modalità di collaborazione fra le Autorità di vigilanza create in base al GDPR, l'FTC ed il DoT, per la gestione di lamentele e delle incongruenze individuate.
• I mezzi di tutela degli interessati. Al di là della supervisione effettuata dalle autorità competenti, per assicurare una protezione adeguata degli individui e, specificatamente, l'applicazione dei diritti individuali, la persona coinvolta deve avere a disposizione un rimedio amministrativo e legale efficace. Il Framework offre varie opzioni di rimedio nel caso in cui i dati vengano gestiti in modo improprio, tra cui meccanismi indipendenti e gratuiti per la risoluzione delle dispute e un organismo arbitrale.
• Le limitazioni all’accesso governativo ai dati. Nell'ottica di proteggere gli interessati, sono state implementate misure per regolare l'accesso e l'uso dei dati personali trasferiti dall'Unione Europea dalle autorità pubbliche degli Stati Uniti. Un paragrafo centrale della Decisione (il par. 3) è dedicato a questo argomento, presentandone un dettagliato sviluppo. In sintesi, ora l'accesso ai dati è rigorosamente limitato soltanto a ciò che è necessario e proporzionato per salvaguardare la sicurezza nazionale. Le agenzie di intelligence americane adotteranno procedure per assicurare un efficace supervisione dei nuovi standard sulla privacy e le libertà civili.
• La Data Protection Review Court (DPRC). I cittadini dell'Unione Europea avranno a disposizione un meccanismo di ricorso autonomo e imparziale per quanto riguarda la raccolta e l'utilizzo dei loro dati da parte dei servizi di intelligence. Questo meccanismo include una recentemente istituita Corte di Revisione per la Protezione dei Dati (DPRC), che esaminerà e risolverà le lamentele in modo indipendente, adottando anche provvedimenti correttivi vincolanti.

Quali vantaggi?

In base a quanto stabilito dalla Commissione, la nuova determinazione assicurerà:

• Protezione appropriata dei dati dei cittadini europei che vengono trasferiti negli Stati Uniti, in conformità con i requisiti della Corte di Giustizia Europea;
• Flussi di dati sicuri e protetti;
• Un fondamento giuridico solido e affidabile;
• Un'economia digitale competitiva e cooperazione economica;
• Flussi di dati ininterrotti che supportano ogni anno il commercio transfrontaliero del valore di 900 miliardi di euro.

Tuttavia, non tutti sono d'accordo sulla validità del nuovo quadro legale.

Verso una sentenza "Schems III"?

La Commissione europea monitorerà con attenzione il meccanismo del Quadro tra l'UE e gli USA, facendo periodicamente una verifica della sua funzionalità. La verifica iniziale avverrà un anno dopo l'attuazione della decisione di adeguatezza. In seguito, a seconda dei risultati della prima verifica, la Commissione stabilirà insieme ai membri dell'UE e alle Autorità per la protezione dei dati, la frequenza delle verifiche future, che si terranno almeno ogni quattro anni.

Si sottolinea che le decisioni di adeguamento possono essere modificate o ritirate in caso di sviluppi che influenzano il livello di protezione nel paese terzo. Max Schrems ha già preannunciato che l'associazione NOYB ha intenzione di contestare la decisione, definendola “una copia del Privacy Shield (del 2016), che a sua volta era una copia del "Safe Harbor"(del 2000)”. L’attivista e avvocato austriaco ha dichiarato: “Abbiamo avuto "porti", "ombrelli", "scudi" e "quadri", ma nessun cambiamento sostanziale nella legge sulla sorveglianza degli Stati Uniti. Le dichiarazioni alla stampa di oggi sono quasi una copia letterale di quelle degli ultimi 23 anni”.

Quali azioni intraprendere?

Indubbiamente, la discussione sulla legalità delle regole americane riguardanti la sorveglianza, in particolare il FISA 702, è ancora lontana dall'essere conclusa. NOYB ha già preparato diverse opzioni procedurali per portare il nuovo accordo transatlantico davanti alla Corte di Giustizia dell'UE all'inizio del prossimo anno.

1. Pertanto, le organizzazioni e le aziende situate in Europa non devono abbassare la guardia e devono mantenere una costante supervisione sugli aggiornamenti legislativi che possono influire sul trattamento dei dati e la legalità dei trasferimenti effettuati.
2. Se l'adozione della decisione di adeguatezza rappresenta immediatamente un semaforo verde per il trasferimento di dati personali negli Stati Uniti, è probabile che possa essere annullata retroattivamente in futuro (come è successo nel 2015 con il "Safe Harbour" e nel 2020 con il "Privacy Shield"), rendendo illegali tutti i trasferimenti di dati precedentemente effettuati da organizzazioni europee. Per questo motivo, è opportuno che, fin dall'inizio, non ci si limiti a dichiarare che il trasferimento è legale perché si basa sul Framework 2023. Le organizzazioni più prudenti e conformi sanno che devono cercare e fornire prove di ulteriori garanzie, in un'ottica di responsabilità.
3. Per ottenere le garanzie supplementari, l'azienda o l'organizzazione che esporta i dati personali deve lavorare in collaborazione con l'azienda o l'organizzazione che li importa, conducendo una valutazione reale del trasferimento, noto anche come "TIA" o "Transfer Impact Assessment". Brevemente, il TIA non è un processo semplice o immediato, ma rappresenta la soluzione ottimale per assicurare la conformità nel lungo periodo.
4. Per essere realmente efficace nella protezione dei soggetti coinvolti e utile per evitare sanzioni, la valutazione sopramenzionata deve stabilire degli obblighi sia per l'esportatore che per l'importatore. Ad esempio, l'esportatore dovrebbe: tracciare i trasferimenti effettuati; controllare il meccanismo di trasferimento; implementare misure aggiuntive/integrative; seguire procedure specifiche in presenza di misure supplementari; monitorare e aggiornare periodicamente la valutazione eseguita. D'altro canto, l'importatore dovrebbe: istituire un programma di gestione della privacy, garantendo la conformità alle normative applicabili; assicurare la massima trasparenza in merito a eventuali richieste di sorveglianza o accesso ai dati da parte del governo; automatizzare il processo di partecipazione agli audit TIA e essere in grado di gestire l'aumento delle richieste dagli esportatori di dati.
5. Alla fine, la recente decisione di adeguatezza, così come ogni altra modifica normativa in grado di influire sui procedimenti effettuati e sulle informazioni da fornire alle parti interessate, richiede un aggiornamento documentale più vasto.

Come intervenire?

Nello specifico, organizzazioni e aziende dovranno garantire di:

• Aver aggiornato l'elenco delle operazioni di trattamento previste dall'articolo 30 del GDPR;
• Aver effettuato un aggiornamento o un'implementazione di una valutazione dei rischi correlata all'intervento eseguito;
• Aver rinnovato le comunicazioni date ai soggetti interessati (clienti, fornitori, dipendenti, ecc.) secondo gli articoli 13 e 14 del GDPR;
• Aver fornito informazioni e formazione al personale riguardante le nuove norme e i compiti da svolgere quando si affida un servizio a un fornitore situato negli Stati Uniti.
• Avere controllato e rinnovato le nomine e gli accordi attuali con i fornitori  negli Stati Uniti e/o aver raggiunto un accordo con loro per includere clausole specifiche che comprendono misure extra, anche in base ai risultati della TIA.

‍

‍