Il 10 Luglio 2023 la Commissione Europea ha adottato una nuova decisione di adeguatezza stabilendo, ai sensi dell’art. 45 GDPR, che senza necessità di ulteriori verifiche sono legittimi i trasferimenti di dati personali dallo Spazio Economico Europeo verso quei soggetti in U.S.A. che hanno certificato la propria adesione ai principi sanciti dal E.U.-U.S. Data Privacy Framework.

La decisione giunge a seguito della c.d. sentenza “Schrems II” della Corte di Giustizia dell’U.E. (CGUE) che ha invalidato la precedente decisione di adeguatezza con gli U.S.A. (c.d. Privacy Shield che, a sua volta, sostituiva il Safe Harbour, accordo sul trasferimento dati UE/USA decaduto nel 2015 a seguito della decisione c.d. “Schrems” della CGUE): la Corte ha ritenuto che il precedente quadro normativo non garantisse un livello di tutela dei dati personali equivalente a quanto previsto dal GDPR, in particolare in ragione degli ampi margini discrezionali riconosciuti dalla normativa statunitense alle autorità di intelligence per esigenze di sicurezza nazionale. La decisione poneva altresì condizioni per l’applicazione delle clausole contrattuali standard, altro strumento di garanzia del trasferimento previsto dal GDPR ed ampiamente utilizzato nella prassi, tali da comportare una forte incertezza sul punto da entrambi i lati dell’oceano. Basti pensare al Provvedimento del Garante Italiano del 2022, in linea con analoghe decisioni delle autorità francesi ed austriache, con cui è stata ammonita una società italiana per utilizzare Google Analytics, concedendole 90 gg di tempo per adottare adeguate garanzie al trasferimento ed ordinando la cessazione dei flussi illegittimi di dati verso gli U.S.A., scatenando il panico tra i numerosissimi utilizzatori di tale strumento gratuito.

Il DPF ha introdotto nuove garanzie a tutela dei cittadini comunitari e volte a superare i rilievi della CGUE: incorporando i principi di conservazione, minimizzazione, sicurezza ed accuratezza dei dati; rafforzando il rispetto dei principi di necessarietà e proporzionalità nei casi di accesso ai dati da parte dell’intelligence statunitense; introducendo nuovi meccanismi di difesa a tutela degli interessati, tra cui un tribunale di riesame per la protezione dei dati (DPRC) a cui potranno accedere interessati dell’U.E. e che può adottare decisioni correttive vincolanti.   

La nuova decisione di adeguatezza è entrata in vigore con la sua adozione il 10 luglio 2023. Un primo riesame della stessa, volto a verificarne l’effettivo funzionamento nella pratica, avrà luogo entro un anno dall’entrata di vigore. Successivamente, la Commissione, in consultazione con Stati Membri e autorità garanti, deciderà la periodicità dei futuri esami, che avranno luogo almeno ogni quattro anni.

Le aziende interessate, potranno aderire al DPF impegnandosi a rispettare gli obblighi dallo stesso previsti, tra i quali ricordiamo quello di cancellazione dei dati personali una volta esaurita la finalità del trattamento, avanzando la domanda di certificazione al Dipartimento del Commercio statunitense, che si occuperà anche di monitorare il rispetto dei requisiti di certificazione.

I successivi chiarimenti del European Data Protection Board e delle competenti autorità garanti nazionali hanno fornito indicazioni operative per coloro che intendano trasferire dati dall’U.E. verso gli U.S.A.

Laddove si intenda basare il trasferimento di dati personali oltreoceano sulla nuova decisione di adeguatezza, è opportuno verificare preliminarmente sul sito https://www.dataprivacyframework.gov/s/participant-search la sussistenza della certificazione in capo al destinatario dei dati.

Se questi risulta avere una certificazione attiva, il trasferimento può legittimamente basarsi sulla decisione di adeguatezza. Non sarà quindi necessario svolgere ulteriori analisi ed approfondimenti del caso (si pensi, ad esempio, alle valutazioni sulla necessità ed adeguatezza di eventuali misure supplementari alle clausole contrattuali standard). Tuttavia, dovrà essere aggiornata di conseguenza la documentazione in uso (es. informative, Data Processing Agreement, Transfer Impact Assessment, nomine a responsabile), avendo altresì cura di verificare l’allineamento di eventuale documentazione adottata dall’organizzazione statunitense (es. DPA predisposto da Big Tech). Sul punto, si evidenzia che ad oggi continuiamo a riscontrare casi in cui l’organizzazione, pur risultando certificata DPF, ancora non ha provveduto ad aggiornare la documentazione disciplinante il proprio ruolo di responsabile (es. DPA disponibile sul proprio sito): in tali casi l’invito, anche in ottica accountability, è richiedere aggiornamenti a controparte sul punto ed allineare di conseguenza la documentazione di riferimento. Permane altresì l’obbligo di verificare, con cadenza quantomeno annuale, la sussistenza della certificazione monitorando il sito https://www.dataprivacyframework.gov.

Se, invece, il destinatario non risulta aver aderito allo schema di certificazione, il trasferimento di dati oltreoceano non potrà basarsi sulla nuova decisione di adeguatezza. Affinchè il trasferimento sia legittimo, dovrà quindi basarsi su un diverso strumento di garanzia di cui all’art. 46 GDPR (es. clausole contrattuali tipo della Commissione o BCR), con tutte le opportune analisi e verifiche del caso.

Dopo un’attesa di 3 anni, la Commissione ha quindi stabilito che gli Stati Uniti garantiscono un adeguato livello di tutela dei dati personali trasferiti dall’U.E. verso quelle organizzazioni negli U.S.A. che sono state incluse nel “Data Privacy framework List” dal Dipartimento del Commercio statunitense.

Tuttavia, Max Schrems e la sua organizzazione Noyb, già all’indomani dell’adozione della decisione, hanno sollevato criticità al riguardo, sostenendo che l’accordo non si basi su cambiamenti sostanziali delle criticità che hanno comportato l’invalidità del Privacy Shield, ma sarebbe una mera espressione degli interessi politici volti a venire incontro alle esigenze delle grandi società statunitensi. Ha quindi già annunciato che la questione tornerà alla Corte di Giustizia entro il prossimo anno.