Comunitario e Internazionale

Trans-Atlantic Data Privacy Framework: a un passo dall'accordo

Il testo della decisione di adeguatezza si propone di fornire un quadro giuridico completo ed esaustivo del sistema di protezione dei dati personali nei rapporti tra l'Unione Europea e gli Stati Uniti

di Giovanna Boschetti*

La Commissione Europea ha predisposto la bozza della decisione di adeguatezza che consentirebbe di considerare libero il trasferimento dei dati dall'Unione Europea verso gli Stati Uniti in presenza del requisito dell'"adeguato livello di protezione dei dati personali" a seguito dell'Executive Order ("Enhancing Safeguards for United States Signals Intelligence Activities") emesso in data 7 ottobre u.s. dal Presidente degli Stati Uniti d'America, Joe Biden, che mette a punto fondamentali aspetti legislativi, nel sistema statunitense, nell'ottica di una maggior trasparenza e della limitazione di poteri governativi di controllo dei dati personali.

Il testo della decisione di adeguatezza, come si è detto ancora in bozza, si propone di fornire un quadro giuridico completo ed esaustivo del sistema di protezione dei dati personali nei rapporti tra l'Unione Europea e gli Stati Uniti.

Nel testo, in primo luogo, sono richiamati i concetti cardine propri del Regolamento 679/2019 ("GDPR") che legittimano il trattamento di dati personali ("data accuracy, minimization and security, transparency"), così come il concetto di limitazione della durata del trattamento, e sono riportate le tipologie dei dati personali proprie del GDPR; il quadro normativo delineato prevede, inoltre, specifici requisiti ("EU-U.S. Data Privacy Framework Principles") di cui potranno usufruire le organizzazioni negli Stati Uniti che, con specifica dichiarazione di conformità ed adesione ai principi indicati, potranno certificarsi quali "Organizzazioni DPF".

Ampio spazio è dedicato, nel testo in commento, ai diritti dei singoli ed alla garanzia del loro rispetto richiesta ai fini dell'operatività dell'adeguatezza: la regola dell'accountability, all'interno del sistema , risulta declinata con estrema puntualità, in presenza di meccanismi effettivi all'interno degli enti e e di concrete ed efficaci privacy policy di cui è richiesta l'adozione.

Centrale, nel provvedimento, è il ruolo del Dipartimento del Commercio degli Stati Uniti ("DoC"), deputato della gestione e del controllo del sistema "Data Privacy" che, su base continuativa, verificherà l'effettiva conformità delle Organizzazioni DPF per identificare i problemi che potrebbero giustificare un'azione di follow-up anche mediante controlli a campione di routine sulle Organizzazioni DPF.
ll Dipartimento del Commercio degli Stati Uniti monitorerà, inoltre, le eventuali dichiarazioni false di Organizzazioni DPF o improprio uso del marchio di certificazione "DPF", sia d'ufficio sia sulla base di reclami e curerà gli aspetti di prima certificazione iniziale, di certificazione annuale e di mantenimento e rinnovo.

Con riferimento alla filiera delle responsabilità e attività di subappalto, specifiche norme sono previste anche con espresso riferimento all'"accountability for onward transfer" che richiede a tutti i titolari del trattamento di definire puntualmente i termini contrattuali con la terza parte in caso di trasferimento di dati, nel rispetto del consenso dell'interessato e delle finalità per cui il consenso è stato prestato, fermo restando che il destinatario dovrà fornire lo stesso livello di protezione dei dati atteso dall'interessato del trattamento.

In linea con lo spirito del GDPR sono previsti dal testo legislativo in commento diversi strumenti di efficace e diretta comunicazione tra gli interessati dal trattamento e le Organizzazioni DPF (inclusi canali di opt-in e programmi di opt-out), oltre a robusti mezzi per assicurare il rispetto dei principi privacy, quali meccanismi di ricorso indipendenti, procedure di follow-up, obblighi in capo alle Organizzazioni DPF di porre rimedio ai problemi derivanti dal mancato rispetto dei principi e conseguenze sanzionatorie in caso di violazione.

La bozza della decisione di adeguatezza in commento costruisce un imponete lavoro, alla luce dell'Executive Order del Presidente Biden, volto a ricomprendere il sistema proposto dagli Stati Uniti nella più ampia cornice di diritti e di principi contemplati dal GDPR.
Il testo legislativo in commento, su cui sarà chiamato ad esprimersi l'European Data Protection Board, proseguirà nell'iter.

Ad oggi si può ritenere, in considerazione del grande lavoro svolto da Unione Europea e Stati Uniti e dell'ampio respiro del corpus normativo, di essere prossimi alla definizione del tanto atteso accordo che permetterà anche agli operatori italiani di tornare a dar corso a più ampi rapporti commerciali con gli Stati Uniti ed all'utilizzo di quei "flussi di dati prevedibili e affidabili attraverso l'Atlantico" che costituiranno nuova linfa per lo sviluppo tecnologico.

_____

*A cura dell'Avv. Giovanna Boschetti, Of Counsel, Studio CBA

Per saperne di piùRiproduzione riservata ©