Data privacy framework UE-USA

Il 10 luglio 2023 la Commissione Europea ha dato via libera al Data Privacy Framework, il nuovo accordo sul trasferimento dei dati personali tra Europa e Stati Uniti.

Il Data Privacy Framework rappresenta un passo avanti fondamentale sul tema della privacy degli utenti e del rispetto delle disposizioni GDPR europee: grazie ad esso, i dati personali degli utenti europei possono tornare a fluire verso le aziende localizzate negli Stati Uniti senza la necessità di mettere in atto ulteriori azioni di tutela e di protezione dei dati.

In questo articolo affronteremo proprio questo argomento cercando di dare una panoramica generale ma completa di questo argomento.

Indice

1) Situazione in cui si si inserisce l’accordo

2) Accordo Politico UE – USA sul trattamento dei dati personali

3) Prima si operava in regime di non conformità

4) Cosa prevede il Data Privacy Network

5) Come verificare se un’azienda Usa aderisce al data privacy framework?

6) Cosa cambia per le aziende con l’approvazione del data framework?

7) Conclusioni

1. Situazione in cui si inserisce l’accordo

Partiamo col dire che il problema del trasferimento dei dati personali extra UE non poteva che essere risolto a livello politico proprio perché, fin quando non si sarebbe trovato un accordo soddisfacente tra le due parti, non si sarebbe potuto che limitare il trasferimento per essere conformi al 100%.

Tuttavia il trattamento dei dati esclusivo all’interno dell’UE è, ad oggi, una soluzione difficilmente realizzabile in quanto il 90% dei software sul mercato sono di origine americana e quindi significa sostanzialmente che si sarebbe quasi dovuto interrompere l’attività di trattamento (e tracciamento) online.

Senza ricercare software complessi infatti una semplice casella di posta Gmail non sarebbe stata più a norma. 

Il Data Privacy Framework si inserisce proprio in questo scenario, permettendo ora ad aziende e professionisti del web di continuare a utilizzare tutti gli strumenti di digital marketing e di digital analytics (ad esempio Facebook Ads, Google Ads, GA4, software di email marketing, CRM, ecc.) in modo sicuro e pienamente conforme alle disposizioni GDPR europee.

La decisione di adeguatezza rappresenta l’atto finale di un lungo iter di approvazione del nuovo accordo politico nato per colmare un vuoto normativo tra Europa e Stati Uniti sulle regole legate al trasferimento dei dati personali degli utenti europei.

In precedenza infatti il trasferimento dei dati personali degli utenti era regolamentato dallo Scudo UE-USA per la privacy. Il cosiddetto Privacy Shield era però stato bloccato dalla Corte di Giustizia dell’Unione Europea nel 2020 in quanto l’autorità aveva espresso preoccupazioni per il rischio di controllo eccessivo da parte delle agenzie di intelligence americane.

2. Accordo Politico UE – USA sul trattamento dei dati personali

Il nuovo Data Privacy Framework adottato dalla Commissione Europea offre quindi soluzioni adeguate alle preoccupazioni espresse dalla Corte di Giustizia Europea, introducendo nuove tutele e salvaguardie vincolanti, in particolare:

      • definendo limiti di accesso ai dati degli utenti europei da parte dei servizi di Intelligence americani

      • istituendo un Tribunale di Revisione sulla Protezione dei Dati composto da giudici nominati al di fuori degli USA che potrà accogliere i reclami da parte degli utenti europei in materia di trattamento dei dati personali, come verrà specificato più avanti in questo articolo.

    Di conseguenza, ad oggi il Data Privacy Framework è da considerarsi come la soluzione definitiva a tutte le (legittime) preoccupazioni legate al trasferimento dei dati degli utenti europei negli USA.

    Questo a patto che si tenga sempre in considerazione che i dati personali degli utenti sono e restano tutelati dal GDPR, e quindi che devono essere sempre raccolti e trattati a norma di legge.

    Una domanda che in molti si stanno ponendo è se l’entrata in vigore del Data Privacy Framework pone quindi una pietra tombale sull’annoso tema della legittimità del trasferimento dei dati degli utenti europei negli USA…

    Dare una risposta a questa domanda è complesso.

    La risposta breve è: sì (per il momento), ma non possiamo sbilanciarci su quello che sarà nei prossimi anni, d’altronde anche il privacy shield non era stato pensato come uno strumento passeggero ma come una soluzione duratura.

    Ciò premesso, è ragionevole attendersi che il Data Privacy Framework resti in vigore nei mesi e negli anni a venire.

    Questo a patto che non ci siano dei colpi di scena dovuti a dei reclami inoltrati alla Corte di Giustizia Europea, come peraltro è già accaduto in passato.

    3. Prima si operava in regime di non conformità

    Si è quindi giunti a questa importante decisione, che ha un sapore senz’altro politico, ma almeno arginerà l’incertezza che ha caratterizzato gli ultimi mesi dove -come sappiamo- le imprese italiane sono state inondate di richieste di eliminazione (anche automatizzate) di qualsiasi servizio che teoricamente potesse comportare un trasferimento dati verso gli USA.

    L’abolizione del succitato Privacy Shield, (un meccanismo di autocertificazione per la tutela dei diritti degli interessati, che regolava i trasferimenti dei dati personali delle aziende europee verso società statunitensi) ha avuto un impatto davvero rilevante, non solo sulle aziende della cosiddetta digital economy (si pensi ai dati raccolti da Facebook, Amazon, Google, eccetera), ma anche su aziende più piccole, ecommerce proprietari e più in generale su tutti coloro che facevano lead generation per poter offrire i propri servizi.

    Gli operatori economici, ciò nonostante, avevano infatti continuato ad operare, trasferendo dati personali verso gli Stati Uniti per via dell’utilizzo di tutti quei servizi e strumenti informatici “US-based” e ciò perché sarebbe stato quasi impossibile, sospendere tutte quelle attività basate sull’utilizzo di quegli applicativi, in quanto avrebbe significato portare al collasso economico-finanziario di migliaia di aziende e società.

    Ad esempio pensiamo all’utilizzo di GMAIL diffusissimo sul mercato, sia per gestire l’email marketing sia per la normale corrispondenza. Già questo strumento comportava un sistema non conforme, a prescindere dall’invio di email in assenza di un esplicito consenso oppure dopo averlo ricevuto correttamente. 

    Si chiude così, quindi almeno temporaneamente, una situazione di precarietà giuridica che si protraeva da tre anni, pesando su pubbliche amministrazioni e aziende utilizzatrici di servizi digitali USA.

    4. Cosa prevede il Data Privacy Network

    Il Framework UE-USA sulla privacy dei dati introduce nuove salvaguardie vincolanti per affrontare tutte le preoccupazioni sollevate dalla Corte di Giustizia Europea, limitando l’accesso ai dati dell’UE da parte dei servizi di intelligence statunitensi a ciò che è necessario e proporzionato, e istituendo un Tribunale di Revisione sulla Protezione dei Dati (Data Protection Review Court, DPRC), a cui gli individui dell’UE avranno accesso.

    Il nuovo quadro introduce significativi miglioramenti rispetto al meccanismo esistente sotto il Privacy Shield.

    Ad esempio, se il DPRC constata che i dati sono stati raccolti in violazione delle nuove salvaguardie, potrà ordinare l’eliminazione dei dati. Le nuove salvaguardie nel settore dell’accesso ai dati da parte del governo completeranno gli obblighi a cui le aziende statunitensi che importano dati dall’UE dovranno sottoscriversi.

    4.1 Impegno delle aziende statunitensi

    Le aziende statunitensi potranno aderire all’EU-U.S. Data Privacy Framework impegnandosi a rispettare un dettagliato insieme di obblighi in materia di privacy, ad esempio l’obbligo di cancellare i dati personali quando non sono più necessari per lo scopo per cui sono stati raccolti, e di garantire la continuità della protezione quando i dati personali vengono condivisi con terze parti.

    4.2 Benefici per gli individui dell’UE

    Gli individui dell’UE beneficeranno di diverse vie di ricorso nel caso in cui i loro dati vengano gestiti in modo errato dalle aziende statunitensi.

    Questo include meccanismi di risoluzione delle controversie indipendenti gratuiti e un panel di arbitrato.

    4.3 Salvaguardie legali statunitensi

    Inoltre, il quadro legale statunitense prevede una serie di salvaguardie riguardanti l’accesso ai dati trasferiti nell’ambito del quadro da parte delle autorità pubbliche statunitensi, in particolare per scopi di applicazione della legge penale e di sicurezza nazionale.

    L’accesso ai dati è limitato a ciò che è necessario e proporzionato per proteggere la sicurezza nazionale.

    4.4 Accesso al meccanismo di ricorso

    Gli individui e le aziende dell’UE avranno accesso a un meccanismo di ricorso indipendente e imparziale riguardante la raccolta e l’uso dei loro dati da parte delle agenzie di intelligence statunitensi, che include un appena creato Tribunale di Revisione sulla Protezione dei Dati (DPRC).

    Il Tribunale indagherà e risolverà in modo indipendente i reclami, compresa l’adozione di misure correttive vincolanti.

    5. Come verificare se un’azienda Usa aderisce al data privacy framework?

    È possibile verificare direttamente online se un provider statunitense che si desidera utilizzare è presente nella lista delle aziende partecipanti al DPF, accendendo al sito ufficiale https://www.dataprivacyframework.gov/s/participant-search e ricercando il nome dell’azienda.

    Sarà necessario appurare se il trasferimento dei dati personali pertinenti è coperto alla voce “Covered Data”, dove ci possono essere 2 categorie di dati:

        • HR – dati personali sui dipendenti di un’azienda, raccolti nel contesto del rapporto di lavoro

        • Non-HR – altri dati personali non relativi ai dipendenti.

      6. Cosa cambia per le aziende con l’approvazione del data framework ?

      Il Data Privacy Framework è stato approvato lo scorso 10 Luglio con effetto immediato. Solo 7 giorni dopo, il 17 luglio, è stato pubblicato online sul sopra citato sito https://www.dataprivacyframework.gov con la lista delle aziende USA partecipanti. Ma come è possibile che in 7 giorni si siano già “auto-certificate”?

      In realtà il Dipartimento del Commercio degli Stati Uniti ha precisato che le aziende che erano già precedentemente certificate ai sensi del Privacy Shield diventavano automaticamente certificate ai sensi del Data Privacy Framework, con la possibilità di fare da subito affidamento sul DPF per l’importazione di dati personali di cittadini UE.

      Unico vincolo era quello di aggiornare le proprie policy per adeguarsi ai nuovi principi del DPF entro il 10 ottobre 2023, con un “grey-period” di 3 mesi.

      È importante tenere comunque in considerazione il fatto che a luglio 2024 questa nuova decisione di adeguatezza verrà revisionata; ad oggi quindi non c’è certezza sulla sua durata.

      Le aziende interessate, potranno aderire al DPF come detto impegnandosi a rispettare gli obblighi dallo stesso previsti, tra i quali ricordiamo quello di cancellazione dei dati personali una volta esaurita la finalità del trattamento, avanzando la domanda di certificazione al Dipartimento del Commercio statunitense, che si occuperà anche di monitorare il rispetto dei requisiti di certificazione.

      I successivi chiarimenti del European Data Protection Board e delle competenti autorità garanti nazionali hanno fornito indicazioni operative per coloro che intendano trasferire dati dall’U.E. verso gli U.S.A.

      Laddove si intenda basare il trasferimento di dati personali oltreoceano sulla nuova decisione di adeguatezza, è opportuno verificare preliminarmente sul sito https://www.dataprivacyframework.gov/s/participant-search la sussistenza della certificazione in capo al destinatario dei dati.

      Se questi risulta avere una certificazione attiva, il trasferimento può legittimamente basarsi sulla decisione di adeguatezza.

      Non sarà quindi necessario svolgere ulteriori analisi ed approfondimenti del caso (si pensi, ad esempio, alle valutazioni sulla necessità ed adeguatezza di eventuali misure supplementari alle clausole contrattuali standard).

      Tuttavia, dovrà essere aggiornata di conseguenza la documentazione in uso (es. informative, Data Processing Agreement, Transfer Impact Assessment, nomine a responsabile), avendo altresì cura di verificare l’allineamento di eventuale documentazione adottata dall’organizzazione statunitense (es. DPA predisposto da Big Tech).

      Sul punto, si evidenzia che ad oggi continuiamo a riscontrare casi in cui l’organizzazione, pur risultando certificata DPF, ancora non ha provveduto ad aggiornare la documentazione disciplinante il proprio ruolo di responsabile (es. DPA disponibile sul proprio sito): in tali casi l’invito, anche in ottica accountability, è richiedere aggiornamenti a controparte sul punto ed allineare di conseguenza la documentazione di riferimento.

      Permane altresì l’obbligo di verificare, con cadenza quantomeno annuale, la sussistenza della certificazione monitorando il sito https://www.dataprivacyframework.gov.

      Se, invece, il destinatario non risulta aver aderito allo schema di certificazione, il trasferimento di dati oltreoceano non potrà basarsi sulla nuova decisione di adeguatezza.

      Affinché il trasferimento sia legittimo, dovrà quindi basarsi su un diverso strumento di garanzia di cui all’art. 46 GDPR (es. clausole contrattuali tipo della Commissione o BCR), con tutte le opportune analisi e verifiche del caso.

      Conclusioni

      Il Data Protection Framework rappresenta un’opportunità per tutte quelle aziende, (ecommerce, marketplace, social) che operano sul mercato statunitense e trasferiscono dati dall’Europa agli Stati Uniti. Inoltre, riapre la strada alla possibilità di accedere a tool statunitensi in maniera lecita.

      Dunque, l’impatto della decisione di adeguatezza è altissimo e potenzialmente positivo ma, va detto, che occorre attendere le risultanze di quanto è stato fatto grazie all’accordo per capire se le misure previste siano sufficienti oppure (ancora) inadeguate. 

      Infatti ciò che è previsto per il nuovo framework, o meglio i trattamenti che sono stati effettuati a seguito di quanta impostazione, andranno verificati dopo un anno dalla decisione di adeguatezza.

      Il riesame andrà a valutare proprio l’efficacia delle nuove norme e l’effettiva adeguatezza del framework al GDPR anche nel contesto USA. Ecco perché, ad oggi, non ci sentiamo di tirare un sospiro di sollievo definitivo ma nel frattempo possiamo ritornare a fare newsletter ed utilizzare in tranquillità tutti i software che il mercato americano ci offre.

      Tuttavia la questione del trasferimento dati UE-USA è l’ennesima dimostrazione di quanto la conoscenza della normativa relativa al trattamento dati personali possa essere fondamentale quando si parla di marketing o, più in generale, di attività d’impresa che operano sul web.

      Ecco perché è importanti farsi assistere da professionisti esperti della materia che possano guidare le tue scelte e mettere al sicuro la tua attività.

      Sono Alberto Caschili, Consulente legale del Mondo Digitale

      Scarica le nostre guide sul contratto per Account Management e sull'utilizzo di Helium 10