Annunciata lo scorso 10 luglio, l’adozione, da parte della Commissione europea, della decisione di adeguatezza denominataEU-U.S. Data Privacy Framework (di seguito, DPF o Decisione)è probabilmente una delle più importanti novità in materia data protection degli ultimi mesi.
La Decisione della Commissione era attesa da tempo, almeno da quando, il 25 marzo 2022, nel corso di una conferenza stampa congiunta con Joe Biden, la presidente della Commissione europea, Ursula von der Leyen, ha annunciato che l’Unione europea aveva trovato un accordo “in principio” con gli Stati Uniti per il trasferimento di dati al di fuori dell’Unione. A tale annuncio, seguirono diverse interlocuzioni tra tutti gli attori – politici e non – coinvolti. Nell’aprile successivo, il Comitato europeo per la protezione dei dati (European Data Protection Board; di seguito, EDPB) intervenne con un comunicato, segnalando, tra l’altro, che avrebbe analizzato nel dettaglio le riforme annunciate dal Presidente statunitense: come richiesto dall’art. 70, par. 1, lett. s) del Reg. UE 2016/679, infatti, prima di emettere un’eventualedecisione, la Commissione deve chiedere un parere all’EDPB. Nel dicembre 2022, la Commissione ha poi pubblicato la bozza di decisione, accompagnata da una sezione esplicativa, nel sito istituzionale, per fornire maggiori indicazioni. Con il successivo parere del 28 febbraio 2023, l’EDPB aveva, da un lato, accolto con favore i cambiamenti della normativa statunitense fino a quel momento intercorsi, ma aveva anche osservato che alcuni aspetti rimanevano sostanzialmente similari a quelli della precedente decisione di adeguatezza, meglio nota come Privacy Shield.
Come noto, ai sensi dell’art. 45 del GDPR, la Commissione può decidere che un paese terzo garantisce un livello di protezione adeguato: in tali casi, il trasferimento verso quel paese non necessita di autorizzazioni specifiche in quanto basato, appunto, sulla decisione di adeguatezza.
Ai sensi del Capo V del GDPR, la decisione di adeguatezza rappresenta però solo una delle diverse basi per poter effettuare liberamente un trasferimento di dai personali al di fuori dell’Unione. Un aspetto forse spesso dimenticato del GDPR, è che l’intento di questo regolamento è sì quello di proteggere i dati personali ma anche di consentirne, in Europa e non, la libera circolazione, fermo il rispetto – naturalmente – della disciplina vigente per la loro protezione.
A seguito dell’invalidazione della precedente decisione di adeguatezza (cd. Privacy Shield) da parte della Corte di Giustizia dell’Unione Europea (di seguito, CGUE), con la sentenza meglio nota come «Schrems II», i titolari e i responsabili del trattamento si sono trovati costretti, per l’effettuazione di trasferimenti verso gli Stati Uniti, a ricorrere ad uno degli altri meccanismi previsti dal GDPR (molto frequentemente, non sussistendo la possibilità di far riferimento alle deroghe di cui all’art. 49 GDPR, si è trattato delle clausole contrattuali tipo, le cd. Standard Contractual Clauses; di seguito, SCC).
Ancora più importante, però, con la decisione «Schrems II», non solo la CGUE ha invalidato il Privacy Shield – in quanto rilevò che la normativa statunitense non garantiva un livello di protezione sostanzialmente equivalente a quello dell’Unione – ma ha sostanzialmente rimesso ai soggetti esportatori il compito (oneroso) di effettuare un cd. Transfer Impact Assessment in tutti i casi di utilizzo delle SCC o delle norme vincolanti d’impresa (le cd. Binding Corporate Rules; di seguito, BCR). Tenendo conto delle circostanze dei trasferimenti, l’esportatore deve, infatti, oggieffettuare una valutazione del contesto normativo del Paese di destinazione dei dati, al fine di verificare se, nel caso di specie, tenuto conto delle misure supplementari eventualmente attuabili, la normativa del Paese di destinazione non interferisca con il livello di protezione dei dati previsto nell’Unione europea.
In questo difficile contesto e in un mondo in cui i trasferimenti verso gli Stati Uniti sono per ogni azienda – piccola, media o grande che sia – quasi quotidiani e imprescindibili, l’adozione dell’EU-U.S. Data Privacy Framework è senz’altro una novità importante in materia di circolazione dei dati, in quanto consentiràagli operatori soggetti al GDPR di trasferire dati personali verso gli Stati Uniti, senza dover necessariamente adottare le SCC (o le BCR), nei confronti di soggetti che sono stati inseriti nell’apposita lista tenuta dalla Federal Trade Commission (di seguito, FTC).
Innanzitutto, è bene premettere che nessun trasferimento verso gli Stati Uniti può essere legittimato sulla base della Decisione sul Data Privacy Framework se non a seguito dell’inserimento dell’azienda statunitense destinataria dei dati all’interno della lista tenuta dalla FTC. Il DPF è, infatti, basato su un meccanismo di autocertificazione e, solo una volta adempiuti tutti gli obblighi imposti dalla Decisione da parte dell’azienda interessata a aderire al DPF, i trasferimenti verso tale azienda potranno essere effettuati, senza la necessità di mettere in atto misure aggiuntive per la protezione dei dati. Non bisogna poi dimenticare che, a prescindere dal meccanismo utilizzato per il trasferimento, stipulare un contratto con il destinatario dei dati, localizzato negli Stati Uniti, è comunque obbligatorio ai sensi del GDPR (si pensi a quanto viene richiesto ai sensi dell’art. 28 GDPR).
Per capire chi potrà servirsi di questo meccanismo, occorrerà monitorare la lista, denominata «Data Privacy Framework List», mantenuta dalla FTC. Stando a quanto segnalato nel sito web del precedente accordo annullato dalla sentenza «Schrems II», il sito del DPF, dove probabilmente sarà resa disponibile tale lista, dovrebbe essere reso pubblico a partire dal 17 luglio.
Bisogna poi tener conto del fatto che la FTC rimuoverà dalla lista sia le organizzazioni che volontariamente decideranno di lasciare il DPF, sia quelle che non completeranno il processo di ricertificazione annuale, oltre che quelle organizzazioni che «have persistently failed to comply with the Principles». Queste ultime organizzazioni non potranno più beneficiare della decisione di adeguatezza della Commissione europea, dovranno restituire o eliminare i dati personali ricevuti nell’ambito del DFP e saranno incluse in una lista resa pubblica dalla FTC.
Le organizzazioni statunitensi che vorranno aderire al DPF dovranno impegnarsi a rispettare tutti i principi sviluppati dalla dall’U.S. Department of Commerce, in consultazione con la Commissione, riportati nell’Annex 1 della Decisione («EU-U.S. Data Privacy Framework Principles», inclusi i «Supplemental Principles», emanati dall’U.S. Department of Commerce (DoC)).
Ma non tutte potranno farlo, in quanto – al momento – per poter beneficiare del meccanismo di trasferimento di cui alla Decisione, occorre essere soggetti ai poteri della FTC o dell’U.S. Department of Transportation (DoT). L’organizzazione interessata a aderire al DPF dovrà poi dichiarare pubblicamente il proprio impegno a conformarsi ai predetti principi, rendere pubbliche le proprie politiche sulla privacy come previsto dai principi e pienamente rispettare gli stessi. Su base annuale, poi, le organizzazioni saranno tenute a rinnovare la loro certificazione.
Infine, è importante notare che la Decisione della Commissione ha rilevanza per l’intero Spazio economico europeo (SEE). Ogni riferimento all’Unione europea o ad uno degli Stati membripresente nella Decisione, dunque, dovrà essere inteso anche come ricomprendente l’Islanda, il Liechtenstein e la Norvegia.
Senz’altro della Decisione della Commissione europea beneficeranno le cd. big tech che, oltreoceano, hanno – nella stragrande maggioranza dei casi – gli headquarters che svolgono, per conto delle società localizzate in Europa, svariati servizi (da quelli tecnici a quelli di supporto) che prevedono un trattamento di dati personali, finora regolato – dopo «Schrems II» – perlopiù da SCC o, in alcuni casi, mediante BCR.
Un caso fra tutti, recentemente oggetto di attenzione da parte delle Autorità di controllo europee riunite nell’EDPB, è quello di Meta Platforms Ireland Limited che, lo scorso 22 maggio, è stata sanzionata dall’Autorità di controllo irlandese (la Data Protection Commission; di seguito, DPC), per 1,2 miliardi di euro a seguito di un’istruttoria relativa al social network Facebook e, in particolare, proprio per i trasferimenti di dati personali verso gliStati Uniti, effettuati in violazione del GDPR.
Per la DPC, infatti, la società irlandese ha violato l’art. 46, par. 1 del GDPR continuando a trasferire dati personali verso gli Stati Uniti, dopo la sentenza «Schrems II» della CGUE, in assenza di idonee misure supplementari e non gestendo, dunque, correttamente i rischi per i diritti e le libertà fondamentali degli interessati, come individuati dalla predetta pronuncia.
Nel recente caso di Facebook sopracitato, l’Autorità di controllo irlandese ha applicato: (i) un ordine che impone a Meta Platforms Ireland Limited di sospendere qualsiasi futuro trasferimento di dati personali verso gli Stati Uniti entro 5 mesi dalla data di notifica della decisione; (ii) una sanzione amministrativa pecuniaria; e (iii) un’ingiunzione al fine di conformare le operazioni di trattamento al Capo V del GDPR, cessando il trattamento illecito, compresa la conservazione, negli Stati Uniti dei dati personali di interessati UE/SEE trasferiti in violazione del GDPR, entro 6 mesi dalla data di notifica della decisione a Meta Platforms Ireland Limited.
Nelle more dell’adozione della decisione di adeguatezza degli Stati Uniti Meta aveva già annunciato che avrebbe propostoricorso, chiedendo altresì la sospensione dell’esecutività della decisione, circostanza che si è poi verificata. Alla luce della Decisione e della possibilità per la controllante statunitense Meta Platforms, Inc. di aderire volontariamente al DPF sarà interessante comprendere come evolverà la situazione relativamente a tale ricorso.
L’adozione della Decisione da parte della Commissione, poi, senz’altro beneficerà anche aziende terze che non aderiranno (o non potranno aderire) al DPF: se è vero che la Decisione è stata adottata a seguito del mutamento della legislazione statunitense, ciò vorrà dire che i flussi verso gli Stati Uniti saranno quanto meno facilitati, anche in caso di uso di SCC o di BCR.
Dall’altro lato, non si può tuttavia non tener conto di chi – già all’indomani della Decisione – ha espresso delle perplessità sul quadro giuridico statunitense e di chi promette già battaglia presso le competenti sedi. Quello che può dirsi è che, ad oggi, il DPC si basa su degli importanti passi avanti nella legislazione statunitense, tra i quali sicuramente spiccano l’accesso, limitato a quanto strettamente necessario e proporzionato, ai dati trasferiti verso gli Stati Uniti dall’Unione europea, da parte dei servizi di intelligence statunitensi, nonché la presenza della Data Protection Review Court (DPRC), vale a dire un tribunale per il riesame della protezione dei dati, a cui avranno accesso anche gli europei.
Infine, è importante ricordare che, tramite meccanismi periodici, la sussistenza delle condizioni che hanno consentito alla Commissione di adottare la decisione verrà rivalutata: il primo controllo dovrà essere effettuato entro un anno dalla data di notifica della Decisione agli Stati membri).
