Pubblicato il draft di EU-U.S. Data Privacy Framework: adempimenti e prospettive per il 2023

Il 13 dicembre la Commissione europea ha avviato il processo di adozione di una decisione di adeguatezza per il quadro UE-USA sulla privacy dei dati.

Si tratta dell'ultima tappa di quel lungo iter che ha fatto seguito all'invalidazione del Privacy Shield da parte della Corte di Giustizia. In particolare, il Privacy Shield consisteva in un meccanismo di autocertificazione per le società stabilite negli USA in materia di compliance privacy, idoneo a legittimarne il trasferimento di dati personali dall'UE.

Con la citata sentenza le garanzie assicurate dagli USA in termini di protezione dei dati personali sono state ritenute inadeguate e per questo il meccanismo del Privacy Shield è stato invalidato: il 16 luglio 2020 la sentenza della Corte di Giustizia ha invalidato lo "scudo per la privacy", ritenuto che le previsioni del diritto interno degli Stati Uniti comportino limitazioni alla protezione dei dati personali non in grado di soddisfare requisiti sostanzialmente equivalenti a quelli previsti dal diritto dell'UE. L'attuale progetto di decisione sull'adeguatezza conclude che gli Stati Uniti garantiscono finalmente un livello adeguato di protezione dei dati personali trasferiti dall'UE agli USA.

Ciò è stato reso possibile grazie al lavoro normativo svolto, su impulso del governo Biden, per riequilibrare le previsioni in materia di trattamento e accesso ai dati personali degli Stati Uniti in modo tale da garantire un sistema pienamente democratico ed equiparabile a quello europeo: il grande tema americano, dichiaratamente espresso dalle sentenze Schrems, è sempre stato quello della protezione dei dati personali dei cittadini in occasione delle richieste di accesso da parte delle autorità pubbliche statunitensi, in particolare per scopi di applicazione della legge penale e di sicurezza nazionale.

La nuova legge andrebbe a temperare i poteri pubblici per finalmente offrire una garanzia di riservatezza e consentirebbe, dunque, agli States di ottenere un valido strumento di garanzia per i trasferimenti di dati. Tale decisione si rivela di fondamentale importanza, non soltanto in termini di compliance e sicurezza delle informazioni, ma anche di business, alla luce della disciplina sui trasferimenti di dati introdotta a partire dal 2018 dal GDPR. Trattasi, infatti, di una attenta disciplina che mira, essenzialmente, alla tutela dei soggetti interessati contro i possibili abusi indotti da normative meno garantiste rinvenibili, ad esempio, in Paesi con forme di governo totalitariste.

Nella consapevolezza del rischio di un aggiramento della tutela democratica accordata dal GDPR l'art. 44 stabilisce così che a qualsiasi trasferimento di dati personali verso un Paese terzo o verso un'organizzazione internazionale si applichino tutte le garanzie e le salvaguardie, affinché il livello di protezione garantito dal regolamento non sia in concreto pregiudicato. Tra tali garanzie, è presente la decisione di adeguatezza, vera e propria determinazione da parte della Commissione Europea che attesta l'adeguatezza del livello di protezione dei dati personali da parte del singolo Paese extra europeo di destinazione.

Oggetto delle decisioni di adeguatezza possono essere non soltanto Stati stranieri ma anche territori specifici all'interno del singolo Stato nonché organizzazioni internazionali (ad oggi, in ogni caso, la Commissione ha riconosciuto con decisione l'adeguatezza delle seguenti nazioni: Andorra, Argentina, Canada, Giappone, Guernsey, Isola di Man, Isole Faroe, Israele, Jersey, Nuova Zelanda, Regno Unito, Svizzera, Uruguay).

Nella pratica, in presenza della base giuridica della decisione di adeguatezza al titolare (o al responsabile) che desidera trasferire i dati nel Paese coperto dalla decisione non è richiesta l'adozione di specifiche ulteriori autorizzazioni (fermo restando l'obbligo per il titolare e per il responsabile del trattamento di adottare misure di sicurezza tecniche ed organizzative adeguate, tenuto conto del rischio intrinseco del trattamento, alla tutela dei dati raccolti, ai sensi dell'art. 32 GDPR).

L'impatto in termini contrattuali è non indifferente, poiché consente di raggiungere un accordo in tempi brevi e senza dover condurre approfondimenti ulteriori che, se con esito negativo, ben potrebbero ostare al perfezionamento dello stesso.

Il motivo per cui tali verifiche potrebbero (e dovrebbero) essere svolte si può cogliere volgendo lo sguardo agli ulteriori strumenti di tutela: le decisioni di adeguatezza, infatti, non costituiscono l'unico strumento offerto dal GDPR a garanzia del trasferimento.

Nel caso in cui il Paese importatore non abbia ottenuto la decisione in questione, il GDPR prevede agli articoli successivi altri strumenti di garanzia, tra cui le note SCC (Standard Contractual Clauses o Clausole contrattuali tipo/standard). Si tratta delle clausole standard adottate dalla Comissione Europea: strumento validato ed emanato ufficialmente a livello di istituzioni europee, le clausole possono essere direttamente incorporate negli accordi contrattuali tra le parti (si pensi, appunto, ad un contratto di fornitura stipulato con un provider stabilito oltreoceano che, per l'erogazione del servizio, potrà avere accesso ai dati personali dei dipendenti o anche dei clienti dell'azienda richiedente). In realtà c'è da dire che la Corte di Giustizia dell'Unione Europea con la sentenza Schrems del 16 luglio 2020 non ha solo invalidato il Privacy Shield ma ha anche posto in discussione la garanzia delle clausole contrattuali standard.

A parere della Corte, le clausole contrattuali tipo forniscono garanzie adeguate solo se è garantito un livello di protezione equivalente a quello all'interno dell'UE, per cui in assenza di tale circostanza non possono essere utilizzare come strumento di garanzia.

Il titolare (o responsabile) che effettua il trasferimento dovrà prima verificare il livello di protezione offerto dal Paese importatore e, in caso di esito positivo di tale verifica, solo successivamente potrà predisporre il set di clausole da allegare al contratto principale (diversamente da quanto accadeva nel periodo antecedente alle citate pronunce, quando l'empasse del trasferimento di dati veniva agevolmente gestito con la compilazione e l'allegazione, a livello prettamente documentale).