La Commissione europea ha pubblicato lo scorso 13 dicembre la prima bozza della nuova decisione di adeguatezza che, una volta adottata, costituirà ai sensi dell’art. 45 del Regolamento 679/2016 GDPR, il principale strumento per il trasferimento dei dati personali verso gli USA. 

  1. Premessa

La Commissione europea ha pubblicato lo scorso 13 dicembre la prima bozza della nuova decisione di adeguatezza – il EU-US Data Privacy Framework – che una volta formalmente adottata, costituirà ai sensi dell’art. 45 del Regolamento 679/2016 GDPR, il principale presupposto per il trasferimento dei dati personali verso gli Stati Uniti.

L’effettiva adozione della decisione di adeguatezza dovrebbe segnare un passo fondamentale nella normalizzazione dei trasferimenti di dati oltreoceano, mettendo fine al periodo di incertezza conseguente all’invalidazione del Privacy Shield da parte della Corte di Giustizia UE con la sentenza nella causa C-311/18 (nota come sentenza Schrems II). Con tale provvedimento i giudici europei avevano sostanzialmente certificato l’assenza, nell’ordinamento degli USA, di adeguate garanzie per il diritto alla riservatezza e alla protezione dei dati personali dei cittadini europei, eliminando quelli che fino a quel momento erano stati i principali strumenti per il trasferimento di dati tra UE e USA.

  1. Il quadro normativo e regolamentare.

Come noto, le norme principali che disciplinano il trasferimento di dati extra UE sono contenute, a partire dal 2016, nel capo V del Regolamento GDPR. La ratio di tali disposizioni è quella di porre dei prerequisiti che consentano il trasferimento di dati appartenenti a cittadini europei esclusivamente verso paesi che possano offrire delle garanzie adeguate e similari a quelle esistenti in UE.

Tra tali strumenti si annoverano principalmente:

  • Le decisioni di adeguatezza della Commissione europea ai sensi dell’art. 45 GDPR;
  • Le norme vincolanti d’impresa ai sensi dell’art. 47 GDPR;
  • Le clausole contrattuali standard adottate dalla Commissione secondo il meccanismo disciplinato all’art. 93, par. 2, GDPR.

Quelli sopra enucleati sono ad oggi gli strumenti maggiormente impiegati, in quanto consentono il trasferimento dei dati in modo più agile.

Nel caso del trasferimento verso gli Stati Uniti, in assenza di una decisione di adeguatezza che certifichi la presenza nel paese di destinazione di garanzie adeguate e con l’invalidazione dei meccanismi predisposti, titolari e responsabili hanno fatto ampio ricorso alle cosiddette clausole contrattuali standard (SCC).

Tuttavia, i provvedimenti emessi nell’ultimo anno da diversi Garanti privacy europei, hanno messo in luce una sostanziale inefficacia di tali clausole per garantire livelli di protezione adeguati negli Stati Uniti. Tali provvedimenti, pur concentrandosi su un segmento molto specifico e limitato di attività di trattamento – quali quelle effettuate per mezzo di cookies e strumenti di tracciamento – hanno in ogni caso palesato i limiti delle SCC nel proteggere i dati personali di cittadini europei da accessi indiscriminati da parte di agenzie di intelligence statunitensi e hanno posto dei principi e dei vincoli di carattere generale. Basti pensare all’annoso tema della scelta di cloud provider americani: negli ultimi anni, il ricorso a tali fornitori, è stato condizionato alla circostanza per cui lo storing dei dati fosse effettuato all’interno del territorio dell’Unione europea, proprio per prevenire il rischio di accesso ai dati da parte di agenzie di intelligence statunitensi.

  1. L’invalidazione del Privacy Shield e l’incertezza nel trasferimento di dati UE-USA.

Le criticità del trasferimento dei dati tra l’Europa e gli Stati Uniti hanno radici ormai risalenti e sono antecedenti anche all’entrata in vigore del Regolamento GDPR.

Il primo meccanismo individuato per assicurare adeguate garanzie ai dati dei cittadini europei trasferiti negli USA era costituito dagli accordi dei primi anni duemila noti come Safe Harbour (International Safe Harbour Privacy Principles). Tale sistema è rimasto in vigore fino al 2015, quando la CGUE, anche a seguito dello scandalo Datagate, ha emesso la ormai celebre sentenza Schrems I.

In seguito, Stati Uniti e Unione Europea hanno avviato un percorso congiunto da cui, nel 2016, ha originato il EU-US Privacy Shield. Tale meccanismo, come noto, è stato a sua volta invalidato dalla sentenza Schrems II, con cui la Corte di Giustizia ha accolto il nuovo ricorso proposto dall’attivista Max Schrems.

Tale ultimo provvedimento della CGUE ha lasciato titolari e responsabili del trattamento in una situazione di profonda incertezza (che tutt’ora permane), obbligandoli al ricorso a differenti strumenti di garanzia quali, in particolare, le clausole contrattuali standard. Ciononostante, nel corso dell’ultimo anno si sono susseguiti numerosi provvedimenti emessi da diverse autorità controllo europee in materia di protezione dei dati che hanno sancito la sostanziale insufficienza del meccanismo delle clausole contrattuali standard, in assenza di ulteriori misure idonee a garantire un livello di protezione analogo a quello assicurato dal GDPR prevenendo potenziali accessi indiscriminati ai dati personali. Ciò, nello specifico, è emerso in relazione al ricorso a fornitori di servizi IT nordamericani, in particolare Google, con un focus sull’utilizzo del servizio di Google Analytics da parte di titolari del trattamento europei.

Anche in Italia nel corso degli ultimi mesi sono giunti i primi provvedimenti sanzionatori, di carattere non pecuniario (limitati ad ammonimenti e ordini di sospendere il relativo trattamento dei dati), che hanno acuito il clima di incertezza sulla effettiva possibilità di trovare modalità compliant per trasferire dati personali verso gli Stati Uniti senza incorrere in violazioni della normativa in tema di data protection.

  1. Verso un nuovo Data Privacy Framework: quali novità e prospettive?

Laddove il Data Privacy Framework (DPF) dovesse effettivamente essere adottato, ciò comporterà una serie di nuovi obblighi per le aziende statunitensi che decideranno di conformarvisi.

Le aziende statunitensi, per poter effettuare il trasferimento, dovranno aderire all’EU – US Data Privacy Framework e impegnarsi ad assicurare un livello di protezione sostanzialmente analogo a quello offerto dal GDPR, con tutto ciò che ne consegue sotto il profilo del rispetto dei principi generali sul trattamento, degli obblighi di informativa e di sicurezza. Di seguito si sintetizzano alcune delle principali novità che sono state proposte.

  • Limitazione della conservazione e delle finalità del trattamento

Il DPF introduce principi ormai pacifici e assodati in Europa, come quello di limitazione della conservazione (Data Integrity and Purpose Limitation Principle). Tale obbligo deve essere esteso contrattualmente anche in caso di ricorso a sub responsabili per la fornitura del servizio.

Ancora, il paragrafo 2.1.2. (15) è teso a introdurre il principio per cui, laddove una società americana voglia trattare i dati raccolti per finalità differenti o comunicarle a terze parti, dovrà prevedere un meccanismo di informativa e opt-out, dando la possibilità all’interessato di opporsi a tale trattamento.

  • Obblighi di informativa

Analogamente a quanto sancito negli artt. 12 – 14 GDPR, anche le società statunitensi che decideranno di aderire al DPF avranno l’obbligo di fornire dettagliate e trasparenti informazioni agli interessati europei, analiticamente indicate nell’Annex I, section II del DPF. 

  • Diritti degli interessati

Il DPF prevede inoltre che i cittadini europei possano esercitare direttamente alcuni dei diritti previsti dal GDPR, come il diritto di accesso, di rettifica, di opposizione e, in talune circostanze (ovvero quando essi ritengano che il trattamento violi i principi del DPF), il diritto alla cancellazione. Tali diritti, analogamente a quanto previsto dalla normativa eurocomunitaria, non potranno essere limitati dai titolari che avranno l’obbligo di provvedere al riscontro in un periodo di tempo ragionevole.

  • Il principio di accountability e l’enforcement sul rispetto del Data Privacy Framework

Sulla scorta di quanto disposto dalla normativa eurocomunitaria, anche le organizzazioni statunitensi che vorranno trattare dati personali appartenenti a cittadini UE, dovranno conformarsi al principio di accountability. Il paragrafo 2.2.7. sancisce infatti che anche tali soggetti saranno tenuti al rispetto del principio di responsabilizzazione e soggetti a verifiche periodiche. Le verifiche potranno sostanziarsi in meccanismi di self assesment, che includano anche attività di formazioni per i dipendenti incaricati del trattamento dei dati o in audit esterni. La responsabilizzazione, proprio come già accade in Europa, dovrà essere tanto sostanziale, quanto formale, dal momento che le organizzazioni che aderiranno al DPF dovranno sempre in grado di dimostrare – anche documentalmente – il rispetto del principio di accountability.

I controlli e le verifiche sul rispetto degli obblighi sono demandati al Dipartimento dei Trasporti e alla Federal Trade Commission.

Il Dipartimento, inoltre, predisporrà e manterrà aggiornato un elenco delle organizzazioni che hanno certificato la loro conformità ai principi di cui al DPF, provvedendo a rimuovere quelle che non dovessero confermare la loro partecipazione agli impegni o non fossero in grado di assicurare su base annuale il rispetto degli obblighi posti. Il meccanismo così delineato, impedirà alle organizzazioni che non saranno censite all’interno della cosiddetta Data Privacy Framework List, non potranno avvalersi del meccanismo della decisione di adeguatezza e, qualora stiano effettuando delle attività trattamentali su dati di cittadini dell’Unione europea, avranno l’obbligo di interrompere tali attività e provvedere alla restituzione o cancellazione dei dati preventivamente acquisiti.

  • Nuovi mezzi di ricorso per gli interessati

Tra le novità di maggiore rilievo introdotte per colmare le lacune evidenziate nelle sentenze della CGUE, si colloca l’obbligo di mettere a disposizione degli interessati dei mezzi di ricorso gratuiti, anche attraverso specifici sistemi di ADR, che potranno essere azionati laddove gli interessati ritengano che il trattamento dei loro dati avvenga in violazione del DPF.

  1. Riflessioni conclusive

La presente analisi ha cercato di evidenziare, senza alcuna pretesa di esaustività, alcune delle novità di maggior impatto che, in caso di effettiva adozione della decisione di adeguatezza da parte della Commissione europea, troveranno applicazione nei trasferimenti di dati verso gli Stati Uniti. Naturalmente, le presenti considerazioni non devono intendersi come definitive, giacché la strada per l’adozione della decisione di adeguatezza ai sensi dell’art. 45 del GDPR è ancora in corso e prevede ora che l’European Data Protection Board esprima un parere sul progetto di Decisione presentato dalla Commissione. In seguito, saranno necessari ulteriori passaggi che coinvolgeranno tanto la Commissione, quanto il Parlamento europeo. Tuttavia, il percorso pare ad oggi procedere celermente e il provvedimento definitivo dovrebbe vedere la luce entro la prima metà del 2023. Il quadro normativo e regolamentare che va così a comporsi lascia intravedere dei possibili benefici e miglioramenti tanto per gli interessati, che avranno a loro disposizione nuove garanzie e strumenti per la tutela dei loro dati personali trattati oltreoceano, quanto per gli operatori e per le imprese. La definizione di un set di regole condiviso tra USA e UE dovrebbe semplificare nella prassi le operazioni di trasferimento dei dati. Inoltre, la creazione di strumenti quali la predisposizione di un registro delle organizzazioni aderenti al nuovo framework, potrà consentire ai titolari del trattamento europei una scelta più consapevole e – forse – agevole, di fornitori stabiliti negli Stati Uniti.