Data Privacy Framework UE-USA

Data Privacy Framework Introhttps://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721

Il 10 luglio 2023 la Commissione europea ha adottato la sua decisione di adeguatezza sul Data Privacy Framework UE-USA (in breve DPF UE-USA) il nuovo accordo sul trasferimento dei dati personali UE-USA. La decisione conclude che gli Stati Uniti assicurano un livello di protezione adeguato, paragonabile a quello dell’Unione europea, sui dati personali dei cittadini UE trasferiti alle società statunitensi che partecipano al quadro, che auto-certificano di aderire al DPF UE-USA e di impegnarsi ad adottare una serie di obblighi e misure.

Il funzionamento del DPF UE-USA sarà soggetto a revisioni periodiche, che saranno effettuate dalla Commissione Europea insieme ai rappresentanti delle autorità europee per la protezione dei dati e alle autorità statunitensi competenti.

Vediamo insieme gli aspetti più importanti.

Cos’è il Data Privacy Framework

Il Data Privacy Framework è un nuovo set di regole che stabilisce una serie di garanzie vincolanti per limitare l’accesso ai dati da parte delle autorità di intelligence statunitensi a quanto necessario e proporzionato per proteggere la sicurezza nazionale e a fini di contrasto penale.

Sulla base della nuova decisione di adeguatezza, le agenzie di intelligence statunitensi adotteranno procedure per garantire un controllo efficace dei nuovi standard di privacy e libertà, e i dati personali dei cittadini UE potranno quindi fluire in sicurezza alle società statunitensi che partecipano al quadro, senza dover mettere in atto ulteriori salvaguardie per la protezione dei dati.

 

Si basa quindi su due aspetti principali:

Accesso ai dati da parte delle agenzie di intelligence statunitensiIl base al nuovo quadro normativo, l’accesso ai dati da parte delle autorità pubbliche statunitensi è ora limitato a quanto “necessario e proporzionato” per proteggere la sicurezza nazionale. Questo garantisce maggiori standard di protezione sui dati trasferiti, bilanciando i legittimi interessi di sicurezza nazionale con i principi del GDPR.
Le aziende statunitensi devono completare un processo di autocertificazioneLe aziende statunitensi potranno aderire al Data Privacy Framework EU-U.S. impegnandosi a rispettare una serie dettagliata di obblighi in materia di privacy, ad esempio l’obbligo di eliminare i dati personali quando non sono più necessari per lo scopo per il quale sono stati raccolti e di garantire la continuità della protezione quando i dati personali sono condivisi con terzi.

 

Il framework non garantisce tutti i trasferimenti dati negli USA, bensì solo quelli verso le cosiddette DPF Organisations, ovvero le aziende USA che aderiscono al framework. Le aziende statunitensi si potranno autocertificare.

 

Perché il Data Privacy Framework è importante

In un contesto globale sempre più digitalizzato come quello attuale, che vede aziende come Google e Meta (ma non solo) dominare di fatto il panorama dei servizi online, questa decisione sana una situazione aperta dal 2020 per la quale, con la sentenza Schrems II e l’invalidazione del Privacy Shield, risultava di fatto illegale utilizzare molte piattaforme e servizi digitali (l’esempio più diffuso è Google Analytics).

 

Il DPF è particolarmente importante ai fini dello sviluppo della web presence perché impatta a diversi livelli: dall’analisi dei risultati con piattaforme di web analytics (molte delle quali americane) all’invio di newsletter, fino al lancio di campagne pubblicitarie con piattaforme come Google, Bing o Meta e dei relativi sistemi di tracciamento per la misurazione delle performance. Oggi, queste e molte altre attività di posizionamento online devono essere realizzate in modo consapevole, nel rispetto delle norme vigenti e in conformità al GDPR.

 

La decisione di adeguatezza sul DPF UE-USA è il frutto di un lungo percorso, partito nel 2022 e durato più di un anno. Il primo riesame avrà luogo entro un anno dall’entrata in vigore della decisione di adeguatezza, al fine di verificare che tutti gli elementi pertinenti siano stati pienamente recepiti nel quadro giuridico statunitense e funzionino efficacemente nella pratica.

 

Contesto Normativo

Il DPF rappresenta il nuovo strumento giuridico che rende lecito il trasferimenti dei dati personali da Europa a Usa, dopo che la nota sentenza Schrems II aveva decretato che la normativa statunitense non dava garanzie in termini di sorveglianza governativa su quei dati.

Di seguito ripercorriamo le principali sentenze che nel tempo hanno caratterizzato l’evoluzione legale di questo tema.

 

Il Safe Harbour (2000)

Nel 2000 Unione europea e Stati Uniti hanno concluso un accordo (noto come Safe Harbour o porto sicuro) che consentiva alle imprese americane di conservare i dati personali degli utenti europei sia nella Ue che negli Usa. Stabiliva il libero trasferimento, a fini commerciali, dei dati di cittadini europei verso gli Stati Uniti da parte delle multinazionali UE, definendo le modalità attraverso cui le società statunitensi dovevano trattare i dati personali di cittadini europei.

Lo scopo dell’accordo era quello di proteggere i dati dei cittadini europei, impedendone la perdita accidentale o la rivelazione di dati personali; a tal fine, le società americane dovevano rispettare 7 principi. Nel novembre 2001 il Garante Privacy italiano dichiara di prendere atto dell’accordo, di autorizzare il trasferimento dei dati personali dall’Italia verso gli Usa, riservandosi di svolgere i necessari controlli su questi trasferimenti di dati e su connesse operazioni di trattamento, nonché di adottare (se necessario) eventuali provvedimenti di blocco o di divieto di trasferimento.

 

L’invalidazione del Safe Harbour: la sentenza Schrems I (2015)

Il 6 ottobre 2015 la Corte di giustizia dell’Unione Europea ha invalidato il Safe Harbour con la sentenza nota come Schrems I, dal nome del giurista austiaco Maximilian Schrems il quale presentò nel 2011, alle autorità irlandesi, un ricorso dove si opponeva al trasferimento dei suoi dati personali sui computer centrali di Facebook negli Stati Uniti. La motivazione era che le autorità americane non offrivano garanzie sufficienti. La sentenza della Corte di Giustizia Europea fa così decadere il Safe Harbour e definisce illegale mandare i dati negli Stati Uniti.

 

La Privacy Shield (2016)

Il 12 Luglio 2016 la Commissione europea ha adottato una decisione in merito all’accordo chiamato scudo UE-USA per la privacy (in inglese EU-US Privacy Shield) che regolamenta il trasferimento di dati fra Ue e Usa imponendo alle imprese americane obblighi più stringenti di tutela dei dati personali degli europei (si veda questa Infografica del Garante). L’accordo conteneva, per la prima volta, dichiarazioni e impegni assunti formalmente per quanto riguarda l’accesso ai dati da parte di soggetti dell’Amministrazione americana.

Il nuovo trattato ebbe tuttavia vita breve, e nel 2020 fu dichiarato illegale in quanto non conforme al nuovo impianto normativo (GDPR).

 

L’invalidazione del Privacy Shield: la sentenza Schrems II (2020)

Il 16 luglio 2020 la Corte di giustizia dell’Unione europea (CGUE) si è pronunciata (c.d. “Sentenza Schrems II”) in merito al regime di trasferimento dei dati tra l’Unione europea e gli Stati Uniti invalidando la decisione di adeguatezza del Privacy Shield, adottata nel 2016 dalla Commissione europea.

La decisione della CGUE di annullare lo Scudo per la Privacy rende gli Stati Uniti un paese non adeguato, privo di alcun accesso speciale ai flussi di dati personali europei. Inoltre, la CGUE ha approvato le Clausole contrattuali standard (SCC, dall’inglese Standard Contractual Clauses), un altro meccanismo comunemente utilizzato per i trasferimenti transatlantici di dati, affermando che questo sistema permette sostanzialmente di garantire il rispetto del livello di protezione richiesto dal diritto dell’Unione europea.

Tale decisione, tuttavia, prevede anche che i titolari del trattamento dei dati valutino il livello di protezione dei dati nel paese del destinatario dei dati, sospendendo il trasferimento in caso di non adeguatezza. Enfatizza inoltre il chiaro obbligo a carico di ciascuna autorità di protezione dei dati, in tutti i paesi membri dell’UE, di sospendere la trasmissione dei dati personali qualora i destinatari si trovino in nazioni ritenute non sicure in base ai requisiti dell’UE in materia di protezione dei dati.​

Su questa base, il Garante Privacy austriaco nel 2021 ha avviato un procedimento decretando che Google Analytics non rispettasse la GDPR perché manda dati personali negli Usa. Successivamente, anche il Garante Privacy francese è giunto alle stesse conclusioni, seguito a giugno 2022 dal Garante Privacy italiano.

 

La ricerca di un nuovo accordo

Dopo l’invalidazione della precedente decisione di adeguatezza sulla EU-U.S. (Privacy Shield), la Commissione europea e il governo degli Stati Uniti hanno avviato discussioni su un nuovo quadro che affronti le questioni sollevate dalla Corte. Nel marzo 2022, la presidente von der Leyen e il presidente Biden annunciarono di aver raggiunto un accordo di principio su un nuovo quadro per i flussi di dati transatlantici, a seguito dei negoziati tra il commissario Reynders e il segretario degli Stati Uniti Raimondo. Nell’ottobre 2022, il presidente Biden ha firmato un ordine esecutivo sul “Miglioramento delle salvaguardie per le attività di intelligence sui segnali degli Stati Uniti”.

 

 

Data Privacy Framework Steps

Data Privacy Framework Steps – credits: https://ec.europa.eu/

 

 

Garanzie per i cittadini UE

Il DPF garantisce ai cittadini dell’UE, i cui dati sono stati trasferiti a società statunitensi autocertificate, i diritti di:

  1. Accesso – accedere ai propri dati
  2. Modifica – richiederne rettifiche
  3. Cancellazione – cancellare i dati errati o trattati illegalmente
  4. Ricorso – avviare ricorsi gratuiti per la risoluzione delle controversie

In particolare, i cittadini dell’UE beneficeranno di diverse vie di ricorso nel caso in cui i loro dati vengano gestiti in modo errato da società statunitensi. Ciò include meccanismi di risoluzione delle controversie indipendenti e gratuiti, strutturati su due livelli:

  1. Il primo livello fa riferimento al funzionario per la protezione delle libertà civili (Civil Liberties Protection Officer, CLPO, proveniente dagli Uffici dell’intelligence americana) il quale condurrà un’indagine iniziale sui reclami ricevuti dai cittadini dell’UE nella loro lingua, al fine di verificare l’effettiva violazione e determinare il rimedio più appropriato. I risultati saranno riportati alle autorità di protezione dei Paesi da cui la segnalazione è pervenuta.
  2. Il secondo livello sarà il Tribunale per il riesame della protezione dei dati (Data Protection Review Court, DPRC) che esaminerà eventuali ricorsi fatti contro le decisioni prese dal CLPO. Il DPRC è un organo indipendente composto da membri nominati al di fuori del governo statunitense, che opererà per conto della persona fisica o dell’agenzia di intelligence governativa che avanzerà il ricorso, garantendo imparzialità ed equità. Le decisioni di questo Tribunale saranno vincolanti.

Le salvaguardie messe in atto dagli Stati Uniti faciliteranno anche i flussi di dati transatlantici più in generale, poiché si applicano anche quando i dati vengono trasferiti utilizzando altri strumenti, come clausole contrattuali standard e norme vincolanti d’impresa. Ciò garantisce un più ampio livello di protezione dei dati personali per i cittadini dell’UE, indipendentemente dal meccanismo di trasferimento usato.

 

Contattaci per saperne di più

Hai dubbi, domande oppure vuoi un consiglio esperto?
Contattaci o scrivici: siamo a tua completa disposizione.

 

Fonti Articolo

Fonti ufficiali e altri articoli di riferimento

Data Privacy Famework: la decisione di adeguatezza della Commissione Europea
Data Privacy Famework: le nuove regole per il trasferimento dati UE-USA
Data Privacy Famework: Ecco cosa devono fare le aziende italiane
Il caso Schrems II e lo Scudo per la Privacy
Sentenza Schrems II
Privacyshield.gov
Sole24Ore: La Corte Ue blocca l’accordo con gli Usa sullo scambio di dati (Schrems I)
Sole24Ore: Che cos’è il “Safe Harbour”

/da
Potrebbero interessarti
Cookie law Cookie Law: la normativa italiana sui cookie
Cookie: tutte le domande e le risposte più frequenti
Cookie banner e Cookie Policy Cookie Policy e Cookie Banner: cosa scrivere nelle informative
Cookie di Analytics e GDPR
Google Analytics e GDPR Google Analytics 4 e GDPR
Cookie law chiarimenti Cookie Law: i chiarimenti del Garante