- Trasferimento dei dati personali negli Stati Uniti
Sono passati diversi anni da quel famoso 16 luglio 2020, giorno in cui la Corte di Giustizia dell’Unione Europea, con la storica sentenza Schrems II (C-311/18), ha dichiarato invalida la Decisione n. 2016/1250 della Commissione sull’adeguatezza della protezione offerta dal Privacy Shield in ordine ai trasferimenti dei dati personali UE-USA.
Da quel momento, come ben noto agli addetti ai lavori (e non solo), si sono susseguiti rincorse senza sosta e salti ad ostacoli per scongiurare l’inevitabile: il diritto e le prassi degli Stati Uniti non assicuravano una protezione sufficiente contro l’accesso, da parte delle pubbliche autorità, ai dati trasferiti verso tale paese. In tal senso, infatti, la Corte rilevava come i perpetranti poteri di accesso e di utilizzo dei dati da parte delle autorità statunitensi, per esigenze legate alla tutela della sicurezza nazionale e dell’interesse pubblico, travalicassero i limiti e le garanzie previste dalla normativa europea in materia di protezione dei dati personali.
Una “impasse” normativa che ha costretto l’amministrazione americana a fare un passo formale in avanti per provare a superare le numerose difficoltà tecniche e giuridiche sorte dalla sentenza della Corte. L’approccio risolutivo comune da parte delle istituzioni USA e UE, costeggiato nel cammino sempre da incertezze, passi indietro e zone d’ombra, ha condotto la Commissione Europea, in data 10 luglio 2023, ad adottare la “COMMISSION IMPLEMENTING DECISION of 10.7.2023 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate level of protection of personal data under the EU-US Data Privacy Framework” (https://commission.europa.eu/system/files/2023-07/Adequacy%20decision%20EU-US%20Data%20Privacy%20Framework_en.pdf).
In sostanza, l’art. 1 del nuovo accord “EU-US Data Privacy Framework” così recita: “For the purpose of Article 45 of Regulation (EU) 2016/679, the United States ensures an adequate level of protection for personal data transferred from the Union to organisations in the United States that are included in the ‘Data Privacy Framework List’, maintained and made publicly available by the U.S. Department of Commerce, in accordance with Section I.3 of Annex I.”
A distanza di pochi giorni, per la precisione in data 17 luglio 2023, il Governo americano ha messo a disposizione il nuovo sito istituzionale del programma Data Privacy Framework (https://www.dataprivacyframework.gov/s/), dismettendo così il precedente, creato per il programma del Privacy Shield. Nel sito attuale, infatti, risulta già operativa la sezione dedicata alla Lista delle organizzazioni (“Data Privacy Framework List”) che hanno già aderito al nuovo programma.
Sorge quindi una domanda spontanea: quindi adesso è tutto risolto? La risposta, sebbene di segno positivo, non deve indurre però in errore le aziende.
A tal proposito, è intervenuto il 18 luglio 2023 l’EDPB (European Data Protection Board), con la pubblicazione di una nota informativa sul nuovo EU-US Data Privacy Framework, che fornisce alcuni chiarimenti sulle implicazioni della decisione di adeguatezza per gli interessati nell’UE e per gli enti che trasferiscono dati personali dall’UE agli Stati Uniti (https://edpb.europa.eu/system/files/2023-07/edpb_informationnoteadequacydecisionus_en.pdf).
In particolare, l’EDPB rileva per le organizzazioni due importanti questioni da tenere in considerazione:
- A partire dal 10 luglio 2023, i trasferimenti dall’UE a organizzazioni negli USA incluse nel “Data Privacy Framework List” possono basarsi sulla decisione di adeguatezza, senza dover ricorrere agli strumenti di trasferimento previsti dall’art. 46 del GDPR.
- Tale assunto porta alla conclusione che i trasferimenti basati sulla decisione di adeguatezza non devono essere integrati da misure supplementari (l’EDPB rimanda alle spiegazioni fornite in merito dalla Commissione);
- I trasferimenti a entità negli USA, che non sono incluse nel “Data Privacy Framework List”, non possono essere basati sulla decisione di adeguatezza e richiederanno adeguate garanzie per la protezione dei dati, diritti azionabili e rimedi legali efficaci per gli interessati (ad esempio, SCC), in conformità all’art. 46 del GDPR.
- l’EDPB sottolinea che le garanzie messe in atto dal governo statunitense nell’ambito della sicurezza nazionale (compreso il meccanismo di ricorso) si applicano a tutti i dati trasferiti negli Stati Uniti, indipendentemente dallo strumento di trasferimento utilizzato. Pertanto, nel valutare l’efficacia dello strumento di trasferimento scelto ai sensi dell’art. 46 del GDPR, gli esportatori di dati devono tenere conto della valutazione effettuata dalla Commissione nella decisione sull’adeguatezza (recitals (6)-(7) of the Adequacy Decision).
Ad ogni modo, queste sono alcune delle precisazioni svolte dall’EDPB nella nota informativa ma ve ne sono altre altrettanto interessanti tra cui, ad esempio: affinché un reclamo sia ammissibile, le persone non devono dimostrare che i loro dati sono stati effettivamente raccolti dalle agenzie di intelligence statunitensi.
- Whistleblowing – un contributo divulgativo degli Avv.ti Marco Catalano e Alfredo Zallone ambito privacy
È stato pubblicato sul sito della testata giornalistica Agendadigitale.eu un contributivo divulgativo in materia di Whistleblowing, ormai più che attuale (dato che dal 15 luglio 2023 hanno effetto le disposizioni del D. Lgs. 24/2023), scritto dall’Avv. Marco Catalano e dall’Avv. Alfredo Zallone.
L’articolo dal titolo “Whistleblowing: come adeguarsi alle norme ed evitare errori” affronta la tematica relativa alla protezione delle persone che segnalano violazioni del diritto, ponendo l’attenzione su quanto previsto dall’art. 25 del GDPR che impone, al fine di poter dimostrare la conformità con la normativa applicabile, al titolare del trattamento di adottare politiche interne e mettere in atto misure tecniche e organizzative per rispettare i principi di privacy by design (protezione dei dati fin dalla progettazione) e privacy by default (protezione dei dati per impostazione predefinita).
L’articolo è disponibile al seguente link: