"Trans-Atlantic Data Privacy Framework": via libera ai flussi di dati UE-USA
Emesso in data 7 ottobre u.s. dal Presidente degli Stati Uniti d'America, Joe Biden, il Protocollo per il trasferimento Dati tra l'UE e gli USA che poggia sull'Executive Order ("Enhancing Safeguards for United States Signals Intelligence Activities")
In data 10 luglio 2023 È stata emanata la tanto attesa decisione di adeguatezza della Commissione Europea in relazione al "Trans-Atlantic Data Privacy Framework", il nuovo Protocollo per il trasferimento Dati tra l'UE e gli USA che poggia sull'Executive Order ("Enhancing Safeguards for United States Signals Intelligence Activities") emesso in data 7 ottobre u.s. dal Presidente degli Stati Uniti d'America, Joe Biden.
Come noto, l'Executive Order del Presidente Biden si proponeva di fornire una concreta risposta alla Corte di Giustizia dell'Unione Europea che, con la sentenza C.d. "Schrems II" del luglio 2020, aveva invalidato il Protocollo Privacy Shields, in forza del quale era allora ammesso il trasferimento di dati tra l'UE gli USA, dichiarando inadeguato il livello di protezione dei dati personali offerto dagli Stati Uniti rispetto ai requisiti previsti dal GDPR.Così, sulla scorta dell'Executive Order emanato dal Presidente Biden era stata formulata una proposta di decisione di adeguatezza da parte della Commissione Europea, che aveva ottenuto in data 28 febbraio u.s. il parere favorevole dell'European Data Protection Board ("EDPB") previsto ai sensi dell'art. 70 del Regolamento Generale sulla Protezione dei Dati ("GDPR").
In particolare, l'EDPB nel proprio parere ("Opinion 5/2023 on the European Commission Draft Implementing Decision on the adequate protection of personal data under the EU-US Data Privacy Framework"), pur effettuando una serie di rilievi, si era pronunciato favorevolmente sulla decisione di adeguatezza oggi divenuta definitiva, considerando l'avvenuta introduzione, nel quadro giuridico statunitense, dei concetti di necessità e proporzionalità nella raccolta e nell'utilizzo dei dati per lo svolgimento delle attività di intelligence e della previsione di meccanismi di ricorso indipendente e imparziale per gestire e risolvere i reclami per interessati residenti in Unione Europea e dell'istituzione di un nuovo tribunale per il riesame della protezione dei dati (Data Protection Review Court).
Nel proprio parere l'EDPB ha inoltre espresso aperto apprezzamento per l'avvenuta implementazione da parte di cinque stati USA (California, Colorado, Connecticut, Virginia e Utah) di norme in tema di protezione dei dati personali e per l'esistenza di concrete iniziative per la definizione di una normativa federale di "American Data Privacy and Protection Act".
Con la decisione di adeguatezza entrata in vigore - con effetto immediato - a far data dal 10 luglio 2023, viene dunque meno l'illiceità dei trasferimenti di dati tra UE e USA ed il trasferimento di dati personali tra tali Paesi torna ad essere libero ed autorizzato; è comunque richiesto alle aziende statunitensi di certificare la loro adesione al nuovo Protocollo e di impegnarsi a rispettare una serie dettagliata di obblighi in materia di protezione dei dati personali, di sicurezza dei sistemi e di condivisione dei dati con terze parti.
In considerazione della citata Decisione di adeguatezza e delle novità normative in commento, tutte le società che operano quali Titolari del Trattamento soggetti all'ambito di applicazione del GDPR hanno l'opportunità di rivedere i loro processi interni riprendendo i flussi di trasferimenti di dati personali verso gli U.S.A. sospesi a seguito della sentenza della Corte di giustizia del luglio 2020.
In tal senso, è opportuno che i titolari del trattamento rivedano le basi giuridiche del trasferimento di dati, adeguando la documentazione informativa nei confronti degli interessati e la documentazione a supporto degli accordi con i fornitori ("Data Transfer Agreement"), con particolare attenzione alle clausole contrattuali tipo, alle norme vincolanti d'impresa ed all'analisi del rischio.
Come noto, il tema del trasferimento dei dati personali tra UE è tuttora oggetto di accessi dibattiti tra associazioni di categoria; la Commissione Europea avrà cura, come richiesto espressamente dall'EDPB, di monitorare costantemente gli sviluppi rilevanti negli Stati Uniti e la sussistenza dei presupposti per il mantenimento in vita del nuovo Protocollo "Trans-Atlantic Data Privacy Framework".
Il Protocollo oggetto dell'attuale accordo UE/USA costituisce un indubbio vantaggio per i tanti operatori di settore e testimonia un'importante ripresa nel sistema di commercio internazionale e dei rapporti UE/USA.
*a cura dell ' Avv. Giovanna Boschetti, counsel, Studio CBA
Giovanna Boschetti*
Norme & Tributi Plus Diritto
