Il 10 luglio 2023 la Commissione europea ha adottato la decisione di adeguatezza per il quadro UE-USA sul trasferimento dei dati personali (DPF o Data Privacy Framework). La decisione di adeguatezza attesta che gli Stati Uniti garantiscono un livello di protezione adeguato – rispetto a quello dell’UE – per i dati personali trasferiti dall’UE alle società statunitensi che partecipano al quadro UE-USA DPF.
La decisione di adeguatezza fa seguito alla firma da parte degli Stati Uniti di un ordine esecutivo sul “rafforzamento delle garanzie per le attività di intelligence dei segnali degli Stati Uniti”, che ha introdotto nuove garanzie vincolanti per affrontare i punti sollevati dalla Corte di giustizia dell’Unione europea nella sua decisione Schrems II del luglio 2020. In particolare, i nuovi obblighi sono volti a garantire che le agenzie di intelligence statunitensi possano accedere ai dati solo in misura necessaria e proporzionata ed istituisce un meccanismo di ricorso indipendente e imparziale per gestire e risolvere i reclami dei cittadini europei relativi alla raccolta dei loro dati per scopi di sicurezza nazionale, il Tribunale per il riesame della protezione dei dati (DPRC).
Capiamo meglio di cosa si tratta.
- Che cos’è una decisione di adeguatezza?
La decisione di adeguatezza è uno degli strumenti previsti dal Regolamento generale sulla protezione dei dati (Reg. UE 679/2016 – GDPR) per trasferire dati personali dall’UE a Paesi terzi che, secondo la valutazione della Commissione, offrono un livello di protezione dei dati personali comparabile a quello dell’Unione europea.
Grazie alle decisioni di adeguatezza, in genere, i dati personali possono essere trasferiti liberamente e in modo sicuro dallo Spazio economico europeo (SEE), che comprende i 27 Stati membri dell’UE nonché la Norvegia, l’Islanda e il Liechtenstein, a un paese terzo, extra ue, senza essere soggetti a ulteriori condizioni o autorizzazioni. In altre parole, i trasferimenti verso il paese terzo possono essere gestiti allo stesso modo delle trasmissioni di dati all’interno dell’UE.
La decisione di adeguatezza, deliberato lo scorso 10 luglio sul DPF UE-USA, fornisce una base giuridica certa al fine di regolare i trasferimenti di dati personali da qualsiasi entità pubblica o privata dallo SEE a società statunitensi che partecipano al DPF UE-USA.
- Quali sono i criteri per valutare l’adeguatezza?
L’adeguatezza non richiede che il sistema di protezione dei dati del paese terzo sia identico a quello dell’UE, ma si basa sullo standard di “equivalenza essenziale”. Comporta una valutazione completa del quadro di protezione dei dati di un paese, sia della protezione applicabile ai dati personali che dei meccanismi di controllo e di ricorso disponibili.
Le autorità europee per la protezione dei dati hanno elaborato un elenco di elementi che devono essere presi in considerazione per questa valutazione, come l’esistenza di principi fondamentali di protezione dei dati, i diritti individuali, la supervisione indipendente e i rimedi efficaci.
- Che cos’è il quadro UE-USA sulla protezione dei dati (DPF)?
Nella sua decisione di adeguatezza, la Commissione ha valutato attentamente i requisiti che derivano dal quadro DPF UE-USA, nonché le limitazioni e le salvaguardie che si applicano quando i dati personali trasferiti negli Stati Uniti sono accessibili alle autorità pubbliche statunitensi, in particolare per scopi di applicazione della legge penale e di sicurezza nazionale.
Su questa base, la decisione di adeguatezza attesta che gli Stati Uniti garantiscono un livello adeguato di protezione dei dati personali trasferiti dall’UE alle aziende che partecipano al quadro UE-USA sulla privacy. Con l’adozione della decisione di adeguatezza, enti ed imprese europee possono trasferire dati personali alle aziende partecipanti negli Stati Uniti, senza dover mettere in atto ulteriori garanzie di protezione dei dati.
Il DPF fornisce ai cittadini UE, i cui dati saranno trasferiti a società USA aderenti al DPF, diversi nuovi diritti (ad esempio, ottenere l’accesso ai propri dati o la correzione o la cancellazione di dati errati o trattati illegalmente). Inoltre, il DPF offre diverse vie di ricorso nel caso in cui i dati siano trattati in modo scorretto, tra cui meccanismi indipendenti e gratuiti di risoluzione delle controversie e un collegio arbitrale.
Le aziende statunitensi possono certificare la loro partecipazione al DPF UE-USA impegnandosi a rispettare una serie dettagliata di obblighi in materia di protezione dei dati personali. Questi potrebbero includere, ad esempio, principi come la limitazione delle finalità e del periodo di conservazione nonché obblighi specifici relativi alla sicurezza dei dati e alla condivisione dei dati con terze parti.
Il DPF sarà gestito dal Dipartimento del Commercio degli Stati Uniti, che elaborerà le richieste di certificazione e controllerà se le aziende partecipanti continuano a soddisfare i requisiti di certificazione. Il rispetto da parte delle aziende statunitensi degli obblighi previsti dal Quadro sulla privacy dei dati UE-USA sarà applicato dalla Federal Trade Commission statunitense.
- Quali sono le limitazioni e le garanzie di accesso ai dati da parte delle agenzie di intelligence statunitensi?
Un elemento essenziale del quadro giuridico statunitense su cui si basa la decisione di adeguatezza riguarda l’Executive Order on “Enhancing Safeguards for United States Signals Intelligence Activities”, firmato dal Presidente Biden il 7 ottobre e accompagnato da regolamenti adottati dal Procuratore Generale. Questi strumenti sono stati adottati per affrontare le questioni sollevate dalla Corte di giustizia nella sentenza Schrems II.
Per i cittadini europei i cui dati personali sono trasferiti negli Stati Uniti, l’ordine esecutivo prevede:
- garanzie vincolanti che limitano l’accesso ai dati da parte delle autorità di intelligence statunitensi a quanto necessario e proporzionato per proteggere la sicurezza nazionale;
- una maggiore supervisione delle attività dei servizi di intelligence statunitensi per garantire il rispetto delle limitazioni alle attività di sorveglianza;
- l’istituzione di un meccanismo di ricorso indipendente e imparziale, che comprende un nuovo tribunale per la revisione della protezione dei dati per indagare e risolvere i reclami relativi all’accesso ai propri dati da parte delle autorità di sicurezza nazionali statunitensi.
- Qual è il nuovo meccanismo di ricorso nel settore della sicurezza nazionale e come possono utilizzarlo le persone?
Il governo degli Stati Uniti ha istituito un nuovo meccanismo di ricorso a due livelli, con autorità indipendente e vincolante, per gestire e risolvere i reclami di qualsiasi individuo i cui dati siano stati trasferiti dal SEE a società negli Stati Uniti in merito alla raccolta e all’utilizzo dei loro dati da parte delle agenzie di intelligence statunitensi.
Affinché un reclamo sia ammissibile, le persone non devono dimostrare che i loro dati sono stati effettivamente raccolti dalle agenzie di intelligence statunitensi. Gli individui possono presentare un reclamo all’autorità nazionale per la protezione dei dati, che garantirà che il reclamo venga trasmesso correttamente e che vengano fornite all’interessato (cittadino UE i cui dati sono stati trasferiti in USA) tutte le ulteriori informazioni relative alla procedura, compreso l’esito. In questo modo si garantisce che l’Interessato possa rivolgersi a un’autorità vicina a casa, nella propria lingua. I reclami saranno trasmessi agli Stati Uniti dal Comitato europeo per la protezione dei dati.
In primo luogo, i reclami saranno esaminati dal cosiddetto “responsabile della protezione delle libertà civili” della comunità di intelligence statunitense. Questa persona ha il compito di garantire il rispetto della privacy e dei diritti fondamentali da parte delle agenzie di intelligence statunitensi.
In secondo luogo, le persone hanno la possibilità di appellarsi alla decisione del funzionario per la protezione delle libertà civili davanti alla Corte di revisione della protezione dei dati (DPRC), di recente istituzione. La Corte è composta da membri esterni al governo degli Stati Uniti, che sono nominati sulla base di specifiche qualifiche, possono essere rimossi solo per gravi motivi, come una condanna penale o l’essere ritenuti mentalmente o fisicamente inadatti a svolgere i loro compiti, e non possono ricevere istruzioni dal governo. Il DPRC ha il potere di indagare sui reclami dei cittadini dell’UE, anche per ottenere informazioni pertinenti dalle agenzie di intelligence, e può prendere decisioni vincolanti per rimediare. Ad esempio, se il RPDC scopre che i dati sono stati raccolti in violazione delle garanzie previste dall’Ordine esecutivo, può ordinarne la cancellazione.
In ogni caso, la Corte selezionerà un avvocato speciale con un’esperienza pertinente per sostenere la Corte, che garantirà che gli interessi del denunciante siano rappresentati e che la Corte sia ben informata sugli aspetti fattuali e legali del caso. Questo assicurerà che entrambe le parti siano rappresentate e introdurrà importanti garanzie in termini di processo equo e di giusto processo.
Una volta che il funzionario per la protezione delle libertà civili o il DPRC ha completato l’indagine, il denunciante sarà informato che non è stata individuata alcuna violazione della legge statunitense, oppure che è stata riscontrata una violazione e vi si è posto rimedio. In una fase successiva, il denunciante sarà informato anche del momento in cui qualsiasi informazione sulla procedura dinanzi al DPRC, come la decisione motivata della Corte, non sarà più soggetta a requisiti di riservatezza e potrà essere ottenuta.
- Quando si applica la decisione?
La decisione di adeguatezza è entrata in vigore con la sua adozione il 10 luglio 2023.
Non ci sono limiti di tempo, ma la Commissione seguirà costantemente gli sviluppi pertinenti negli Stati Uniti e riesaminerà regolarmente la decisione di adeguatezza.
Il primo riesame avrà luogo entro un anno dall’entrata in vigore della decisione di adeguatezza, per verificare se tutti gli elementi pertinenti del quadro giuridico statunitense funzionano efficacemente nella pratica. Successivamente, e in base all’esito del primo esame, la Commissione deciderà, in consultazione con gli Stati membri dell’UE e le autorità di protezione dei dati, la periodicità dei futuri esami, che avranno luogo almeno ogni quattro anni.
Le decisioni di adeguatezza possono essere adattate o addirittura revocate in caso di sviluppi che incidano sul livello di protezione nel Paese terzo.
- Qual è l’impatto della decisione sulla possibilità di utilizzare altri strumenti per i trasferimenti di dati verso gli Stati Uniti?
Tutte le garanzie messe in atto dal governo statunitense in materia di sicurezza nazionale (compreso il meccanismo di ricorso) si applicano a tutti i trasferimenti di dati ai sensi del GDPR verso aziende negli Stati Uniti, indipendentemente dai meccanismi di trasferimento utilizzati. Queste garanzie facilitano quindi anche l’uso di altri strumenti, come le clausole contrattuali standard e le norme vincolanti d’impresa.
- Possibile criticità.
Iniziamo col dire che il Parlamento europeo, pochi mesi fa, aveva espresso parere negativo sulla bozza poichè i concetti di “proporzionalità” e “necessità” su cui si devono fondare i controlli da parte delle intelligence statunitensi potrebbero essere interpretati in modo diverso nel sistema giuridico degli USA e in quello europeo. Aveva, inoltre, avanzato delle perplessità sul funzionamento e sull’effettiva imparzialità è trasparenza della neonata Data Protection Review Court e aveva, infine, giudicato le misure statunitensi insufficienti a tutelare i dati dei cittadini europei. L’11 maggio 2023 i parlamentari hanno votato a larga maggioranza una risoluzione contraria alla decisione di adeguatezza ma tale risoluzione non è però vincolante per la Commissione europea tanto che ha emanato ugualmente la decisione di adeguatezza.
Ai dubbi parlamentari si accodano le osservazioni dell’ EPDB e del Comitato europeo per la protezione dei dati, che hanno evidenziato la necessità di controllare costantemente il funzionamento reale del meccanismo di ricorso e l’interpretazione dei principi di necessità e proporzionalità, così come già evidenziato dal Parlamento europeo, oltre ad una maggiore attenzione per i diritti degli interessati anche nelle ipotesi di raccolta di massa dei dati.
Anche questa volta Schrems ha già annunciato di esser pronto a presentare un nuovo ricorso alla Corte di Giustizia, con la possibilità che, se il ricorso dovesse essere accolto, tutto torni allo stato di incertezza che lo caratterizza.
- Cosa fare adesso?
Enti ed imprese europee devono aspettare i passi previsti dalla decisione di adeguatezza che comportano, per le aziende USA che intendono importare i dati personali dalla UE:
- l’adesione al PDF USA-UE tenuto da ministero del commercio estero americano;
- la modifica delle policy (informative per il trattamento dei dati personali) comprese i vari Data Processing Agreement (designazione dei fornitori ai sensi dell’Art. 28 del GDPR) in cui sono indicate le modalità con cui il fornitore intende trasferire i dati fuori dalla UE.
Fonte Ius Privacy