Il nuovo accordo UE-USA sul trasferimento verso gli Stati Uniti di dati personali di soggetti UE – noto come Data Privacy Framework (“DPF”) – è stato oggetto della decisione di adeguatezza da parte della Commissione UE il 10 luglio 2023.
Con questo atto della Commissione, il DPF è entrato in vigore ed è produttivo di effetti: il trasferimento di dati personali da un esportatore UE (più correttamente, stabilito nel territorio SEE) a un importatore USA che si è registrato al programma DPF, non richiede più l’adozione di garanzie supplementari, in quanto è coperto dalla decisione di adeguatezza (art. 45, GDPR). Occorre che la auto-certificazione al DPF riguardi il settore nel cui ambito rientra l’oggetto del trasferimento.
Decisione CGUE sul caso Schrems II
Il DPF si è reso necessario in quanto, nel luglio 2020, la decisione della CGUE [Caso C-311/18], Data Protection Commissioner c. Facebook Ireland Limited and Maximillian Schrems (Schrems II)] aveva invalidato il predecessore del DPF, il cosiddetto Privacy Shield.
La decisione era stata adottata a seguito dell’accertamento che
- l’uso e l’accesso dei dati personali dei soggetti che si trovano nell’UE da parte delle autorità di intelligence statunitensi non soddisfacevano il principio di proporzionalità e
- non erano previsti meccanismi efficaci di ricorso per gli interessati dell’UE per contestare le pratiche di sorveglianza delle agenzie pubbliche di contrasto.
Privacy Shield
Il DPF, in sostanza, non è un programma nuovo, bensì, esso è integrativo del Privacy Shield che rimane valido a tutti gli effetti. Per essere più specifici, il Privacy Shield, a seguito della decisione di invalidazione della CGUE, non costituisce più uno strumento che gode della decisione di adeguatezza della Commissione UE, ma dal lato USA, esso è comunque un programma volontario che è rimasto in vigore. Tant’è vero che le organizzazioni che risultano ancora aderenti al Privacy Shield, avendo rinnovato annualmente la loro auto-certificazione, avranno la possibilità di passare automaticamente al DPF dovendo semplicemente aggiornare le proprie privacy policy con la dichiarazione di impegno al DPF e, contemporaneamente, riportando l’indirizzo del sito web istituzionale di questo programma.
Il negoziato tra Dipartimento del Commercio USA e Commissione UE, che ha portato all’approvazione del DPF, è consistito nell’indirizzare le osservazioni critiche evidenziate dalla CGUE nella decisione Schrems II, in merito a mancanza di proporzionalità per l’accesso delle autorità pubbliche USA ed assenza di un meccanismo di ricorso indipendente disponibile per gli interessati.
Questi due aspetti sono stati affrontati con le soluzioni indicate in maggior dettaglio qui di seguito.
Per le informazioni relative al Privacy Shield e alla sua struttura, si rinvia all’Editoriale del 14/7/2016; mentre per le prime critiche sollevate a tale accordo pochi mesi dopo la sua entrata in vigore, si veda l’Alert del 10/11/2016. (Consultabile con abbonamento SIG)
Continua…