La Commissione europea ha annunciato, all’inizio di agosto 2023, di aver ufficialmente approvato lo “EU-US Data Privacy Framework” (“DPF”), vale a dire il nuovo accordo per il trasferimento dei dati dall’UE verso gli USA (il comunicato stampa è disponibile qui). La nuova decisione di adeguatezza è stata pubblicata lo scorso 10 luglio 2023 e con essa l’Unione europea ha formalmente riconosciuto che gli Stati Uniti garantiscono un livello adeguato di protezione dei dati personali, equiparabile a quello dell’UE.
Da quel momento, in molti si sono affrettati a comunicare la notizia sia su diversi canali social (LinkedIn in primis) che su tante testate giornalistiche online, con toni per la maggior parte euforici, e dando l’idea di un totale via libera, da quel momento in avanti, alla possibilità per qualsiasi ente od organizzazione situato nell’Unione europea di trasferire liberamente i dati personali trattati ad altre organizzazioni (fornitori di servizi o società appartenenti ad un medesimo gruppo etc.) situate negli Stati Uniti.
DPF, risolverà davvero il problema del trasferimento dei dati personali negli Usa?
Sicuramente la notizia è di grande rilevanza e merita, anche ad avviso di chi scrive, di essere valutata con un certo spirito di ottimismo, anche perché ha sicuramente il pregio, da una parte, di facilitare la fornitura di servizi collegati a o che implichino un trattamento di dati personali, soprattutto da parte di importanti player internazionali, molto spesso americani.
Come noto, le valutazioni sulla scelta dei fornitori, soprattutto da parte di grandi realtà imprenditoriali, sono ancora oggi grandemente trainate più dalla valutazione dei soli profili collegati al business (e quindi dalle caratteristiche commerciali e tecniche del servizio offerto o di cui si intende usufruire) che dalla valutazione di eventuali rischi o criticità per i diritti e le libertà degli interessati (siano essi consumatori, dipendenti o altri).
Ma le società possono veramente tirare un sospiro di sollievo, dormendo sonni tranquilli, senza doversi più porre alcun problema di valutazione e senza la preoccupazione di vedere emessi nei propri confronti eventuali provvedimenti ammonitori o addirittura sanzionatori da parte delle Autorità di controllo competenti (in Italia, il Garante Privacy) per aver trasferito dati personali negli USA?
In realtà, anche considerando le possibili ricadute in termini di danno di immagine oltre che economico in caso di sanzioni o di richieste di risarcimento da parte degli interessati, forse sarebbe opportuno analizzare bene il DPF (anche se si tratta di circa 136 pagine, compresi gli allegati), e valutarne le reali condizioni e implicazioni anche alla luce dei precedenti e del contesto in cui si inserisce questa nuova decisione di adeguatezza.
Cerchiamo di approfondire cosa effettivamente stabilisce il DPF, quali potrebbero essere alcune delle possibili conseguenze per le società europee nonché alcune accortezze da adottare, per mantenere un approccio quanto meno più cauto, con un focus sul profilo delle “società certificate” previste dal DPF e sull’opportunità di adottare comunque altri meccanismi di garanzia previsti dalla normativa.
I precedenti da tenere in considerazione: il caso Schrems
Tutto nasce quando, nel 2013, Edward Snowden, tecnico della CIA e collaboratore della National Security Agency americana (“NSA”), aveva rivelato che il governo statunitense utilizzava le aziende big tech e programmi come “PRISM” per svolgere attività top-secret di sorveglianza di massa dei cittadini il mondo, in assenza di qualsivoglia autorizzazione giudiziaria, operando sulla base del Foreign Intelligence Surveillance Act (“FISA”) e dell’Executive Order 12333 (“EO 12333”).
A seguito di tali dichiarazioni, Maximilian Schrems, un cittadino austriaco titolare di un account Facebook, aveva proposto ricorso all’Autorità per la protezione dei dati personali irlandese (il “Data Protection Commissioner”) sostenendo che in base alle rivelazioni fatte da Snowden circa le attività di sorveglianza delle agenzie di intelligence statunitensi, il quadro giuridico degli Stati Uniti non offriva un adeguato livello di protezione dei dati personali. Posto che i dati personali inseriti all’interno di Facebook da parte degli utenti titolari di un account venivano trasferiti dai server della società irlandese controllata da Facebook verso server ubicati negli USA, dove erano oggetto di trattamento, l’attività di sorveglianza delle autorità pubbliche e il loro accesso a tali dati personali ne rendeva illecito il trasferimento verso gli USA.
La questione era giunta fino alla Corte di Giustizia dell’Unione europea (“CGUE”) che, con la nota sentenza “Schrems” del 6 ottobre 2015, aveva invalidato la decisione 2000/520/CE della Commissione europea (c.d. decisione “Safe Harbour”), del 26 luglio 2000, a norma della Direttiva 95/46/CE sull’adeguatezza della protezione offerta dai principi di approdo sicuro e dalle relative domande più frequenti (FAQ) in materia di riservatezza pubblicate dal Dipartimento del commercio degli Stati Uniti, nella quale la Commissione europea aveva constatato che tale paese terzo garantiva un livello di protezione adeguato dei dati personali ivi trasferiti.
In seguito a tale pronuncia, la Commissione europea aveva adottato la decisione n. 2016/1250 sull’adeguatezza della protezione offerta dal regime del c.d. Privacy Shield, dopo aver proceduto, ai fini della sua adozione, ad una valutazione della normativa degli Stati Uniti.
Tuttavia, il 16 luglio 2020, la Corte di Giustizia dell’Unione Europea (la “CGUE”) aveva nuovamente dichiarato invalida, con la nota sentenza “Schrems II”, la decisione n. 2016/1250 della Commissione europea sull’adeguatezza della protezione offerta dal regime del Privacy Shield.
Da allora, il trasferimento di dati personali verso gli Stati Uniti aveva subito ulteriori forti rallentamenti e nei confronti di diverse società erano stati emessi provvedimento ammonitori (si veda, ad esempio, il provvedimento ammonitorio dell’Autorità Garante per la protezione dei dati personali italiana nei confronti di una società per aver utilizzato il servizio di Google Analytics, disponibile qui) e, più di recente, sanzionatori per aver utilizzato strumenti che consentivano il trasferimento transatlantico di dati personali (sul punto si veda la sanzione dell’Autorità Garante svedese, nei confronti di due società per aver utilizzato il servizio di Google Analytics, disponibile qui).
Per cercare di rimediare a tale stallo, la Commissione europea e il governo statunitense avevano iniziato i negoziati per raggiungere un nuovo accordo, conclusosi con la pubblicazione, nel marzo del 2022, di un comunicato stampa con la quale veniva annunciato il raggiungimento di un nuovo accordo di principio per quanto riguarda il trasferimento dei dati dall’UE agli USA.
Nel dicembre del 2022, la Commissione europea aveva pubblicato una bozza di “EU-US Data Privacy Framework”. In merito a tale bozza di decisione di adeguatezza, la Commissione per le libertà civili, la giustizia e gli affari interni del Parlamento europeo aveva espresso parere negativo nel febbraio del 2023.
Su cosa si basa il Data Privacy Framework
Il DPF si basa su una serie di garanzie fornite dagli Stati Uniti riguardo all’accesso da parte delle agenzie governative ai dati personali.
Sulla base di questa nuova decisione di adeguatezza, i dati personali raccolti dalle società aventi sede nell’UE possono essere trasferiti in modo sicuro dal territorio europeo alle società statunitensi, senza dover adottare ulteriori misure previste dal GDPR.
In particolare, il nuovo DPF pare introdurre importanti miglioramenti rispetto al precedente Privacy Shield. Le nuove misure, infatti, sembrerebbero essere volte a sciogliere tutti i problemi sollevati dalla CGUE nella sentenza “Schrems II” e includerebbero restrizioni sull’accesso dei dati personali dei cittadini europei da parte dei servizi di intelligence, limitando l’accesso agli stessi da parte delle autorità statunitensi soltanto laddove necessario e proporzionato.
Inoltre, come già previsto nell’Executive Order 14086 emesso lo scorso 7 ottobre dal Presidente degli USA, è stato istituito il Data Protection Review Court (“DPRC”), vale a dire un tribunale a cui possono ricorrere i cittadini dell’UE per presentare reclami e richieste di risarcimento in caso di violazioni dei loro diritti in materia di protezione dei dati personali durante il trasferimento dei dati personali verso gli Stati Uniti. In particolare, il DPRC è un meccanismo di ricorso indipendente e terzo a cui possono ricorrere gli interessati per quanto riguarda la raccolta e l’utilizzo dei loro dati personali da parte delle agenzie di intelligence statunitensi. Uno dei compiti del DPRC è quello di indagare e risolvere, in modo indipendente rispetto alle altre corti, anche mediante l’adozione di misure correttive vincolanti. Il nuovo quadro prevede altresì che, laddove il DPRC rilevi una raccolta di dati personali in violazione della normativa in materia di protezione dei dati, nonché delle nuove disposizioni, possa ordinare alle società statunitensi la cancellazione di tali dati personali.
Nello specifico, il DPF consente di trasferire i dati personali a società statunitensi certificate, senza dover ricorrere alle ulteriori garanzie previste dal GDPR.
Cosa si intende per società certificate?
La sezione 2.1.1. del Data Privacy Framework (DPF) specifica che il nuovo framework si basa su un sistema di auto-certificazione mediante il quale le società statunitensi si impegnano a rispettare un insieme di principi sulla protezione dei dati personali (i “Principi”), individuati dall’U.S. Department of Commerce (“DoC”) e contenuti nell’Allegato I del DPF. Per essere idonea alla certificazione nell’ambito del DPF, una società è soggetta ai poteri di indagine e di esecuzione della Federal Trade Commission (“FTC”) o dell’U.S. Department of Transportation (“DoT”).
Il rispetto dei Principi deve avvenire sin dalla certificazione e le società certificate sono tenute a rinnovare annualmente la loro adesione ai Principi.
Una volta che una società statunitense ha deciso volontariamente di certificarsi, essa è tenuta ad adempiere a diversi obblighi (ad es. adozione di misure tecniche e organizzative adeguate, formazione dei dipendenti, etc.).
Come si ottiene la certificazione?
Per certificarsi (o rinnovare annualmente la certificazione), le società devono dichiarare pubblicamente il loro impegno a conformarsi ai Principi, rendere disponibili le proprie policy inerenti alla privacy e implementarle. Per la certificazione (e il rinnovo), le società devono fornire al DoC diverse informazioni (ad es. nome della società, descrizione delle finalità per le quali la società tratterà i dati personali, i dati personali che verranno trattati).
Una società statunitense potrà ricevere i dati personali sulla base della decisione di adeguatezza soltanto dal giorno in cui viene inserita nell’elenco delle società certificate (la lista delle società sarà inserita e aggiornata su questo sito.
Le società certificate sono soggette a controllo da parte del DoC. Tale dipartimento effettua controlli a campione, verificando che le società certificate rispettino i Principi. In caso di non conformità e persistenza nella non conformità anche a seguito di contatto da parte dell’Autorità statunitense, la società verrà rimossa dalla lista delle società certificate e sarà tenuta a restituire / cancellare i dati personali ricevuti nell’ambito dei trasferimenti sulla base della decisione di adeguatezza.
Cosa succede se una società statunitense non è certificata?
Sulla base di quanto contenuto nel DPF, le società statunitensi non certificate non possono ricevere i dati personali dall’UE sulla base della decisione di adeguatezza.
In caso di mancata certificazione – sia per non averla ottenuta, che per non averla rinnovata – le società possono ricorrere agli altri meccanismi previsti per il trasferimento dal GDPR.
In caso di ricorso alle clausole contrattuali standard (“SCCs”), le società dovranno condurre un Transfer Impact Assessment (“TIA”). Tuttavia, anche alla luce della decisione di adeguatezza, le sezioni della TIA inerenti alla possibilità per le autorità pubbliche statunitensi di accedere e utilizzare i dati personali trasferiti dovrebbero riflettere il contenuto della decisione di adeguatezza e quindi che gli Stati Uniti garantiscono un livello adeguato di protezione dei dati personali, equiparabile a quello dell’Unione europea.
Quanto sopra viene confermato anche dall’European Data Protection Board (“EDPB”) con le FAQs sui trasferimenti negli Stati Uniti dopo la decisione di adeguatezza conseguente al DPF, pubblicate lo scorso 18 luglio (disponibili qui, in inglese).
Sul punto, infatti, l’EDPB chiarisce che i trasferimenti di dati personali a società statunitensi non certificate non potrà avvenire sulla base della decisione di adeguatezza e sarà necessario adottare gli altri meccanismi previsti dal GDPR per il trasferimento di dati personali, in conformità con l’art. 46 del GDPR. A tal proposito, l’EDPB sottolinea che tutte le garanzie previste dal governo statunitense nell’ambito della sicurezza nazionale (compreso il meccanismo di ricorso) si applicano a tutti i dati trasferiti verso gli Stati Uniti, indipendentemente dal meccanismo a cui si fa ricorso.
L’accesso ai dati personali da parte dei servizi di intelligence statunitensi risulterebbe peraltro limitato soltanto ove “necessario” e “proporzionato” per proteggere la sicurezza nazionale.
Cosa si intende per “necessità” e “proporzionalità”?
L’accesso ai dati personali dei cittadini europei da parte dei servizi di intelligence statunitensi è consentito soltanto ove necessario e proporzionato per proteggere la sicurezza nazionale.
I dati personali trasferiti dall’UE alle società statunitensi certificate possono essere visionati dalle autorità statunitensi per scopi di sicurezza nazionale sulla base di diversi strumenti giuridici, soggetti a condizioni e garanzie specifiche. In particolare, secondo quanto contenuto nel DPF, le agenzie di intelligence statunitensi possono richiedere l’accesso ai dati personali ricevuti dalle società europee, esclusivamente per scopi di sicurezza nazionale, previsti dalla legge e, in particolare, in base al FISA o alle disposizioni di legge che autorizzano l’accesso tramite National Security Letters (“NSL”).
Il FISA contiene diverse basi giuridiche che possono essere utilizzate per raccogliere (e successivamente trattare) i dati personali di interessati europei trasferiti in base al DPF.
Inoltre, le agenzie di intelligence statunitensi possono raccogliere dati personali al di fuori degli Stati Uniti, compresi i dati personali in transito tra l’UE e gli USA, sulla base dell’EO 12333.
Con l’Executive Order 14086 (“EO 14086”), emesso dal Presidente degli USA lo scorso 7 ottobre 2022, sono state introdotte ulteriori limitazioni e salvaguardie per lo svolgimento di tutte le attività di intelligence statunitensi. L’EO 14086 sostituisce in larga misura la Presidential Policy Directive (“PPD-28”), rafforzando le condizioni, le limitazioni e le salvaguardie che si applicano a tutte le attività di intelligence, indipendentemente dal luogo in cui vengono svolte, e istituisce un nuovo meccanismo di ricorso attraverso il quale queste salvaguardie possono essere invocate e applicate dagli interessati.
Le limitazioni e le salvaguardie introdotte dall’EO 14086 integrano quelle previste dal FISA e dall’EO 12333.
In particolare, l’EO 14086 stabilisce una serie di requisiti che si applicano a tutte le attività di intelligence (raccolta, utilizzo, diffusione, ecc.) dei dati personali:
- le attività devono essere basate su una legge o un’autorizzazione presidenziale e devono essere svolte in conformità con la legge statunitense, compresa la Costituzione;
- devono essere attuate adeguate salvaguardie per garantire che la protezione dei dati personali e le libertà degli interessati;
- qualsiasi attività di intelligence può essere svolta solo a seguito di una determinazione, basata su una valutazione di tutti i fattori rilevanti, che le attività siano necessarie per promuovere una priorità di intelligence convalidata;
- le attività possono essere svolte solo nella misura e nelle modalità proporzionate alla priorità di intelligence convalidata per la quale sono state autorizzate.
Sostanzialmente, vi deve essere un bilanciamento tra l’importanza della priorità di intelligence perseguita e l’impatto sulla protezione dei dati personali e le libertà civili delle persone interessate, a prescindere dalla loro nazionalità o dal luogo in cui risiedono.
L’EO 14086 limita le basi per le quali i dati possono essere raccolti nell’ambito delle attività di intelligence prevedendo:
- obiettivi legittimi perseguibili (ad es. in caso di accertamenti connessi a organizzazioni terroristiche che rappresentano una minaccia attuale o potenziale per la sicurezza nazionale degli USA, per attività volte a comprendere o valutare le minacce transnazionali che incidono sulla sicurezza globale, come il cambiamento climatico e altre modifiche ecologiche, i rischi per la salute pubblica e le minacce umanitarie);
- alcuni obiettivi non perseguibili (ad es. per ostacolare critiche, dissenso o libera espressione di idee o opinioni politiche da parte di individui o della stampa, allo scopo di penalizzare persone in base alla loro etnia, razza, genere, identità di genere, orientamento sessuale o religione, o per fornire un vantaggio competitivo alle società statunitensi).
Gli obiettivi previsti nell’EO 14086 non possono essere semplicemente richiamati, ma devono essere ulteriormente giustificati dal punto di vista operativo, specificando le ragioni concrete per cui viene effettuata la raccolta dei dati.
Posto che le priorità dell’intelligence vengono individuate dal direttore dell’intelligence nazionale (attraverso il c.d. National Intelligence Priorities Framework) e sottoposte al Presidente per l’approvazione, occorrerà vedere come, a seguito dell’adozione della decisione di adeguatezza, i principi di “proporzionalità” e “necessità” verranno interpretati all’interno dell’ordinamento statunitense.
Le criticità del Data Privacy Framework
In sintesi, quindi, il nuovo DPF sembra introdurre misure più rigorose per garantire la protezione dei dati personali dei cittadini europei, fornendo un maggiore controllo e sicurezza per gli individui dell’UE e le società coinvolte nei trasferimenti di dati transatlantici.
Alla luce di quanto sopra, infatti, le società statunitensi certificate sembrerebbero essere tenute ad aderire ad una serie dettagliata di obblighi in materia di protezione dei dati personali, quali, a titolo esemplificativo, l’obbligo di cancellare i dati personali quando non sono più necessari per la finalità per cui sono stati raccolti e di garantire la continuità della protezione quando i dati personali vengono condivisi con terze parti.
La decisione di Bruxelles è stata accolta con sollievo ed entusiasmo da molte società europee che hanno necessità di trasferire dati personali verso gli Stati Uniti per le loro attività commerciali. L’accordo, infatti, riapre nuove opportunità per la collaborazione economica e commerciale tra l’UE e gli Stati Uniti, incoraggiando i rapporti tra le società europee e statunitensi.
Tuttavia, non mancano le voci critiche nei confronti dell’adozione di questa nuova decisione di adeguatezza. Alcuni esperti in materia di protezione dei dati personali sostengono che il DPF non risulti tanto diverso dai precedenti Privacy Shield e Safe Harbor e che le nuove disposizioni potrebbero non essere sufficienti a garantire una protezione adeguata dei dati personali dei cittadini europei.
Inoltre, viene sottolineato che le agenzie di intelligence statunitensi potrebbero comunque avere un accesso indiscriminato ai dati personali, mettendo in discussione l’efficacia del meccanismo di garanzia proposto. Sul punto, anche Noyb, l’associazione che ha impugnato le precedenti decisioni ed accordi sui quali si basavano i trasferimenti verso gli USA facendoli invalidare dalla CGUE, ha già dichiarato che intende impugnare tale decisione, così come fatto per le precedenti (si veda qui il comunicato stampa di noyb).
E non si può non considerare che anche il Parlamento europeo, lo scorso maggio, aveva dichiarato di ritenere insufficienti le misure adottate dagli Stati Uniti per garantire la protezione dei dati personali degli interessati europei invitando la Commissione europea a riaprire i negoziati.
Conclusioni
Nonostante la decisione della Commissione europea rappresenti un passo significativo verso la risoluzione delle controversie sul trasferimento dei dati personali tra l’Unione europea e gli Stati Uniti, occorre comunque essere cauti prima di tirare un sospiro di sollievo.
In primis, le società europee saranno tenute a verificare che le società statunitensi destinatarie dei dati personali abbiano ottenuto la certificazione e che questa venga rinnovata annualmente. Laddove queste non l’abbiano ottenuta, sarà opportuno prevedere misure alternative (ad es. la stipulazione di SCCs).
Inoltre, sarebbe comunque opportuno valutare l’adozione di SCCs, previo svolgimento di una TIA appropriata, considerato che tale meccanismo di garanzia non risulta incompatibile con la decisione di adeguatezza, e che comunque vincola sul piano privatistico e contrattuale il destinatario/importatore dei dati personali, al rispetto degli obblighi contenuti nelle SCCs.
Sul punto, infatti, si rammenta che il testo di tali clausole non può essere modificato e che, seppur con la sentenza “Schrems II” sia stata dichiarata l’invalidità della precedente decisione di adeguatezza, è stata altresì dichiarata la validità delle SCCs.
Il rischio quindi di fare affidamento esclusivamente sulla nuova decisione di adeguatezza potrebbe essere, infatti, che – come già avvenuto con le due note sentenze “Schrems” e “Schrems II” della CGUE che hanno invalidato le precedenti decisioni di adeguatezza – anche questa decisione possa essere in futuro revocata o impugnata e invalidata.
Articolo originariamente pubblicato il 01 Set 2023