Trasferimento dati UE-Usa: tutte le novità per le aziende dopo la decisione di adeguatezza

Lo scenario preesistente

Nel 2020 la Corte di Giustizia UE ha dichiarato invalido il Privacy Shield, preesistente convenzione USA-UE per i trasferimenti dati personali verso gli States. Da allora le aziende europee hanno fatto affidamento su strumenti alternativi per la legittimazione del trasferimento transfrontaliero, come le clausole contrattuali standard.

Queste prevedevano una serie di obblighi e garanzie che il fornitore americano doveva assumere nel trattamento e protezione dei dati. L’azienda italiana doveva stipulare un apposito contratto contenente tali clausole con il fornitore di servizi cloud o altri servizi che implicassero trasferimento di dati negli USA e periodicamente l’azienda italiana doveva monitorare il rispetto degli impegni assunti dall’importatore statunitense tramite le clausole contrattuali sottoscritte.

La nuova decisione di adeguatezza

A luglio 2023 la Commissione Europea ha emesso una nuova decisione di adeguatezza sul testo “EU-US Data Privacy Framework” (DPF) in relazione al trasferimento di dati personali dall’UE agli USA.

Il DPF fornisce garanzie adeguate secondo la Commissione, equivalenti alla protezione privacy europea. Le organizzazioni statunitensi potranno ottenere la certificazione DPF tramite autocertificazione, impegnandosi a rispettare i principi e gli obblighi previsti.

Di fatto possiamo considerare il DPF come una nuova versione del Privacy Shield, in quanto il meccanismo di funzionamento è sostanzialmente il medesimo: dovranno essere le singole aziende americane a richiedere l’autocertificazione per essere inserite nell’apposito elenco.

Cosa cambia ora per le imprese italiane ed europee che trasferiscono dati verso fornitori Usa?

Analizziamo nel dettaglio gli scenari:

  • Se il fornitore USA non è certificato DPF, è opportuno rafforzare l’accordo esistente integrando maggiori garanzie e obblighi, come previsto dalla nuova decisione di adeguatezza. Va rivista inoltre l’eventuale valutazione d’impatto effettuata per il trasferimento.
  • Se il fornitore è certificato DPF, il trasferimento è già legittimo alla fonte. Basterà verificare l’effettiva adesione al Framework del fornitore dall’apposito elenco pubblico.
  • Importante aggiornare le informative privacy indicando l’eventuale adesione di fornitori USA al DPF. Gli interessati potranno esercitare i diritti direttamente verso l’importatore.

Il meccanismo di adesione

L’adesione al DPF sarà gestita dal Dipartimento del Commercio USA. Non tutte le organizzazioni USA potranno aderire: i requisiti riguardano aziende sotto la giurisdizione della Federal Trade Commission (FTC) o del Dipartimento dei Trasporti degli Stati Uniti (DOT).

L’adesione al Framework non esaurisce gli obblighi privacy verso l’esportatore UE. Vanno rispettati comunque gli adempimenti GDPR, come nomina a responsabile del trattamento ed eventuali valutazioni d’impatto.

In conclusione

In sintesi, la nuova decisione di adeguatezza apre nuove possibilità per il trasferimento dati UE-USA, facilitando di molto il compito del titolare del trattamento nell’individuazione del responsabile esterno del trattamento.

Se infatti precedentemente l’onere della valutazione di compliance del partner ricadeva interamente in capo all’azienda Titolare, oggi l’adesione del fornitore al DPF costituisce una valutazione di compliance pre approvata dalla commissione europea. Inoltre, tramite questo meccanismo si va a snellire in maniera significativa l’aspetto contrattuale che non dovrà più riguardare le condizioni di legittimità del trasferimento dati.

*****

Lo Studio offre assistenza e consulenza nella gestione della privacy dei propri clienti, assumendo ove necessario anche la nomina di Data protection office al fine di garantire la compliance alla normativa in essere.

Foto di Gerd Altmann da Pixabay