Il 10 luglio 2023 è stato adottato il Data Privacy Framework, accordo sul trasferimento dei dati personali tra Europa e Stati Uniti.
Si tratta di una soluzione al problema della privacy in riferimento al rispetto delle disposizioni GDPR europee, tramite il quale i dati personali degli utenti europei potranno tornare a transitare verso le aziende aventi sedi extra UE senza ledere alcuna disposizione normativa.
In questo articolo affronteremo proprio questo argomento cercando di dare una panoramica generale ma completa di questo argomento.
Indice
1) Situazione in cui si si inserisce l’accordo
2) Accordo Politico UE – USA sul trattamento dei dati personali
3) Prima si operava in regime di non conformità
4) Cosa prevede il Data Privacy Network
5) Come verificare se un’azienda Usa aderisce al data privacy framework?
6) Cosa dovranno fare le aziende statunitensi per rientrare nelle liste?
7) Conclusioni
1. Situazione in cui si inserisce l’accordo
Partiamo col dire che il problema del trasferimento dei dati personali extra UE non poteva che essere risolto a livello politico proprio perché, fin quando non si sarebbe trovato un accordo soddisfacente tra le due parti, non si sarebbe potuto che limitare il trasferimento per essere conformi al 100%.
Tuttavia il trattamento dei dati esclusivo all’interno dell’UE è, ad oggi, una soluzione difficilmente realizzabile in quanto il 90% dei software sul mercato sono di origine americana e quindi significa sostanzialmente che si sarebbe quasi dovuto interrompere l’attività di trattamento (e tracciamento) online.
Senza ricercare software complessi infatti una semplice casella di posta Gmail non sarebbe stata più a norma.
Il Data Privacy Framework si inserisce proprio in questo scenario, permettendo l’utilizzo di tutti gli strumenti di digital marketing in modo pienamente conforme alle disposizioni del GDPR.
Il lungo iter di approvazione del nuovo accordo politico, nato per colmare un vuoto normativo tra Europa e Stati Uniti, risponde ad una esigenza particolarmente rilevante in vista della tutela dei dati personali coinvolti.
In precedenza infatti il trasferimento dei dati personali degli utenti era regolamentato dallo Scudo UE-USA per la privacy.
Il cosiddetto Privacy Shield era però stato bloccato dalla Corte di Giustizia dell’Unione Europea nel 2020 in quanto l’autorità aveva espresso preoccupazioni per il rischio di controllo eccessivo da parte delle agenzie di intelligence americane.
2. Accordo Politico UE – USA sul trattamento dei dati personali
Il nuovo Data Privacy Framework adottato dalla Commissione Europea rappresenta un passo significativo verso la risoluzione delle controversie legate al trasferimento dei dati personali degli utenti europei verso gli Stati Uniti.
Questo quadro normativo è stato progettato per affrontare direttamente le preoccupazioni sollevate dalla Corte di Giustizia Europea riguardo alla protezione dei dati personali durante il loro trattamento da parte delle autorità statunitensi, in particolare dai servizi di Intelligence.
È cruciale sottolineare che nonostante il Data Privacy Framework rappresenti un avanzamento significativo, la sua efficacia nel tempo dipenderà dalla sua implementazione e dal rispetto continuo delle normative europee in materia di protezione dei dati, come stabilite nel GDPR (Regolamento Generale sulla Protezione dei Dati).
D’altronde anche il privacy shield non era stato pensato come uno strumento passeggero ma come una soluzione duratura poi sappiamo come sia andata a finire.
Questo regolamento rimane il pilastro fondamentale per garantire che i dati personali degli utenti europei siano raccolti, trattati e trasferiti in conformità con le norme legali e etiche.
Infine, sebbene il nuovo framework possa offrire una soluzione attuale alle preoccupazioni esistenti, è importante rimanere consapevoli delle possibili evoluzioni future.
Eventuali cambiamenti nelle dinamiche politiche o nuove sfide legali potrebbero influenzare la stabilità e l’efficacia a lungo termine del quadro normativo attuale.
Pertanto, la vigilanza continua e l’adattamento alle nuove circostanze rimarranno essenziali per affrontare le sfide emergenti nel campo della protezione dei dati personali.
3. Prima si operava in regime di non conformità
Si è quindi giunti a questa importante decisione, che ha un sapore senz’altro politico, ma almeno arginerà l’incertezza che ha caratterizzato gli ultimi mesi dove -come sappiamo- le imprese italiane sono state inondate di richieste di eliminazione (anche automatizzate) di qualsiasi servizio che teoricamente potesse comportare un trasferimento dati verso gli USA.
L’abolizione del succitato Privacy Shield, (un meccanismo di autocertificazione per la tutela dei diritti degli interessati, che regolava i trasferimenti dei dati personali delle aziende europee verso società statunitensi) ha avuto un impatto davvero rilevante, non solo sulle aziende della cosiddetta digital economy (si pensi ai dati raccolti da Facebook, Amazon, Google, eccetera), ma anche su aziende più piccole, ecommerce proprietari e più in generale su tutti coloro che facevano lead generation per poter offrire i propri servizi.
Gli operatori economici, ciò nonostante, avevano infatti continuato ad operare, trasferendo dati personali verso gli Stati Uniti per via dell’utilizzo di tutti quei servizi e strumenti informatici “US-based” e ciò perché sarebbe stato quasi impossibile, sospendere tutte quelle attività basate sull’utilizzo di quegli applicativi, in quanto avrebbe significato portare al collasso economico-finanziario di migliaia di aziende e società.
Si chiude così, quindi almeno temporaneamente, una situazione di precarietà giuridica che si protraeva da tre anni, pesando su pubbliche amministrazioni e aziende utilizzatrici di servizi digitali USA.
4. Cosa prevede il Data Privacy Network
Una delle principali innovazioni introdotte è la definizione di limiti precisi sull’accesso ai dati degli utenti europei da parte delle agenzie di Intelligence americane.
Questo aspetto mira a garantire che i dati personali non siano soggetti a un trattamento eccessivo o indiscriminato da parte delle autorità statunitensi, riducendo così i rischi per la privacy degli individui europei.
Inoltre, l’istituzione del Tribunale di Revisione sulla Protezione dei Dati (Data Protection Review Court, DPRC) rappresenta un’importante pietra miliare.
Questo tribunale, composto da giudici non statunitensi, avrà il compito di esaminare e valutare i reclami avanzati dagli utenti europei riguardo al trattamento dei loro dati personali.
Tale meccanismo rappresenta una garanzia aggiuntiva per i cittadini europei, offrendo loro un rimedio concreto in caso di violazioni o preoccupazioni riguardanti la privacy dei loro dati.
Ad esempio, se il tribunale rileva che i dati sono stati raccolti in violazione della normativa, potrà ordinare l’eliminazione dei dati.
Inoltre è obbligatorio per le aziende Statunitensi iscriversi in un portale specifico così da certificare il loro rispetto alle nuove disposizioni.
Solo le aziende presenti nella lista potranno essere destinatarie del trasferimento dei dati personali provenienti dall’UE.
4.1 Impegno delle aziende statunitensi
Le aziende statunitensi potranno aderire all’EU-U.S. Data Privacy Framework impegnandosi a rispettare un dettagliato insieme di obblighi in materia di privacy, ad esempio l’obbligo di cancellare i dati personali quando non sono più necessari per lo scopo per cui sono stati raccolti, e di garantire la continuità della protezione quando i dati personali vengono condivisi con terze parti.
4.2 Benefici per gli individui dell’UE
Gli individui dell’UE beneficeranno di diverse vie di ricorso nel caso in cui i loro dati vengano gestiti in modo errato dalle aziende statunitensi. Questo include meccanismi di risoluzione delle controversie indipendenti gratuiti e un panel di arbitrato.
4.3 Salvaguardie legali statunitensi
Inoltre, il quadro legale statunitense prevede una serie di salvaguardie riguardanti l’accesso ai dati trasferiti nell’ambito del quadro da parte delle autorità pubbliche statunitensi, in particolare per scopi di applicazione della legge penale e di sicurezza nazionale.
L’accesso ai dati è limitato a ciò che è necessario e proporzionato per proteggere la sicurezza nazionale.
4.4 Accesso al meccanismo di ricorso
Gli individui e le aziende dell’UE avranno accesso a un meccanismo di ricorso indipendente e imparziale riguardante la raccolta e l’uso dei loro dati da parte delle agenzie di intelligence statunitensi, che include un appena creato Tribunale di Revisione sulla Protezione dei Dati (DPRC).
Il Tribunale indagherà e risolverà in modo indipendente i reclami, compresa l’adozione di misure correttive vincolanti.
5. Come verificare se un’azienda Usa aderisce al data privacy framework?
Per verificare se una azienda statunitense che fornisce un software che si vuole utilizzare, abbia aderito al DPF è sufficiente accedere al portale https://www.dataprivacyframework.gov/s/participant-search per verificare la sua presenza nella lista.
6. Cosa dovranno fare le aziende statunitensi per rientrare nelle liste?
Ma com’è possibile che dall’entrata in vigore del Data Privacy Framework, avvenuta il 10 luglio, nei sette giorni successivi sia stato pubblicato online l’elenco delle aziende statunitensi partecipanti?
Il motivo è semplice: le aziende presenti nella lista al primo giorno di pubblicazione si sono auto-certificate!
Il Dipartimento del Commercio degli Stati Uniti ha precisato che le aziende precedentemente certificate secondo il Privacy Shield diventano automaticamente certificate secondo il Data Privacy Framework.
Questo permette loro di continuare ad importare dati personali di cittadini dell’UE, potendo fare affidamento sul DPF immediatamente.
L’unica condizione era l’aggiornamento delle proprie politiche entro il 10 ottobre 2023 per adeguarsi ai nuovi principi, durante un periodo transitorio di tre mesi.
Va sottolineato che la validità di questa nuova decisione di adeguatezza sarà riesaminata a luglio 2024, senza garanzie di proroga.
Le aziende interessate possono aderire al DPF impegnandosi a rispettare le sue disposizioni, come l’obbligo di cancellare i dati personali una volta conclusa la loro utilità.
Devono inoltre presentare una domanda di certificazione al Dipartimento del Commercio statunitense, che si occuperà anche di verificare il rispetto dei requisiti di certificazione.
Lo European Data Protection Board e le autorità garanti nazionali hanno fornito chiarimenti operativi successivi per coloro che intendono trasferire dati dall’UE agli USA.
È essenziale verificare sulla piattaforma https://www.dataprivacyframework.gov/s/participant-search se il destinatario dei dati sia certificato, in quanto ciò legittima il trasferimento basato sulla decisione di adeguatezza.
In presenza di certificazione attiva, non sono richieste ulteriori valutazioni approfondite, sebbene sia necessario aggiornare la documentazione pertinente.
Nel caso in cui il destinatario non sia certificato, il trasferimento di dati transatlantici non può avvalersi della nuova decisione di adeguatezza.
In tal caso, è necessario ricorrere ad altre misure di sicurezza, come le clausole contrattuali tipo della Commissione europea o le regole vincolanti aziendali (BCR), con le relative analisi e verifiche.
È inoltre obbligatorio monitorare annualmente la certificazione sulla piattaforma https://www.dataprivacyframework.gov per assicurare la conformità continua dei trasferimenti di dati.
Conclusioni
Il Data Privacy Framework offre un’opportunità strategica per le aziende che operano sul mercato statunitense, inclusi ecommerce, marketplace e social media, consentendo loro di trasferire dati legalmente dall’Europa agli Stati Uniti.
Questo rappresenta un cambiamento significativo che potrebbe migliorare l’accesso alle tecnologie statunitensi.
Tuttavia, l’impatto della decisione di adeguatezza è ancora oggetto di valutazione. È cruciale attendere i risultati dell’implementazione dell’accordo per determinare se le misure adottate sono sufficienti o se necessitano di ulteriori miglioramenti.
Il riesame previsto dopo un anno dalla decisione di adeguatezza esaminerà l’efficacia delle nuove norme e valuterà se il framework rispetta effettivamente gli standard del GDPR anche nell’ambito delle operazioni statunitensi.
Pertanto, al momento attuale, è prematuro trarre conclusioni definitive.
Questa dinamica evidenzia l’importanza fondamentale della conoscenza approfondita della normativa sul trattamento dei dati personali, soprattutto per le strategie di marketing e le operazioni aziendali online.
È un chiaro esempio di come la conformità normativa sia essenziale per mitigare rischi e sfruttare opportunità nel contesto globale del commercio elettronico.
Ecco perché è importanti farsi assistere da professionisti esperti della materia che possano guidare le tue scelte e mettere al sicuro la tua attività.
Sono Alberto Caschili, Consulente legale del Mondo Digitale