GDPR e trasferimenti di dati verso USA: operativo il Data Privacy Network

Nel luglio 2020 la Corte di Giustizia Europea, in seguito ad un ricorso presentato da Max Schrems attività del diritto della privacy, ha annullato il cd. Privacy Shield, ossia il meccanismo che consentiva di trasferire i dati personali verso gli Stati Uniti in conformità alle previsioni del Capo V del GDPR.

La decisione ha creato non pochi disagi a tutte le aziende italiane che utilizzano servizi e prodotti forniti da soggetti statunitensi, questo perché in assenza del Privacy Shield la Corte di Giustizia Europea aveva chiarito la possibilità di utilizzare il meccanismo delle clausole standard contrattuali ferma rimanendo però la necessità di verificare il livello di adeguatezza dell’ordinamento del paese verso cui devono essere trasferiti.

La decisione della CGUE era incentrata principalmente sulla circostanza che, in conseguenza delle misure di sorveglianza digitale attuate con il Patriot Act, al cittadino europeo i cui dati vengano sottoposti a sorveglianza (tramite decisioni del Governo statunitense) non è consentito alcuno strumento di ricorso nei confronti di tali pratiche (a differenza del cittadino americano che può invece opporsi a tale decisione davanti a un giudice statunitense). Tale mancanza è stata ritenuta contraria ai principi statuiti nella Carta Europea dei Diritti dell’Uomo (prima) e della Carta di Nizza, così determinando una non adeguatezza del sistema americano rispetto quello europeo.

In seguito alla decisione è intervenuto sul tema anche l’European Data Protection Board, che con delle Raccomandazioni ha precisato la possibilità di effettuare il trasferimento sulla base delle Standard Contract Clauses, ma con la necessità di misure tecniche ed organizzative aggiuntive per garantire i diritti dei cittadini europei, previa formulazione di un Data Transfer Impact Assessment.

Questi presupposti hanno portato alcune Autorità di controllo europee a ritenere illegittimo, ad esempio, l’utilizzo del servizio Universal Analytics di Google, proprio per la possibile reidentificazione che la stessa Google potrebbe porre in essere utilizzando i dati ricevuti attraverso il tool.

Il 10 luglio 2023 però la Commissione Europea ha adottato la decisione C(2023) 4745 final, con cui ha emanato la decisione di adeguatezza relativamente al nuovo EU-US Data Privacy Framework, quale strumento che sostituirà il Privacy Shield, e grazie al quale, a determinate condizioni, sarà possibile effettuare il trasferimento di dati personali verso gli USA utilizzando servizi erogati dalle aziende statunitensi.

Il funzionamento del Data Privacy Framework

Dal punto di vista del funzionamento il Data Périvacy Framework (DPF) utilizza lo stesso meccanismo del Privacy Shield. La competenza per la sua revisione ed attuazione è conferita congiuntamente al Dipartimento del Commercio statunitense ed alla Federal Trade Commission, che hanno il compito di vigilare ed eventuali adottare gli opportuni provvedimenti nei confronti delle aziende americane che intendono aderire al DPF.

Il framework, infatti, prevede una sorta di certificazione volontaria che viene riconosciuta alle imprese statunitense che si impegnano a rispettare le previsioni del DPF. Tale certificazione deve essere rinnovata annualmente e consente di essere iscritti nella lista, mantenuta dal Dipartimento, dei soggetti che aderiscono al framework. La certificazione può essere perduta in caso di rinuncia da parte dell’azienda, oppure qualora non venga rinnovata per un anno o nel caso in cui l’organizzazione non rispetti i principi indicati nel DPF.

Il Dipartimento del commercio svolge un ruolo primario nella verifica del rispetto dei requisiti, potendo richiedere informazioni alle aziende certificate in qualunque momento, verificare se l’organizzazione mette a disposizione le informazioni richieste e se effettivamente le stesse sono in linea con i requisiti per la certificazione, nonché verificare anche l’organismo per la gestione alternativa delle controversie designato dall’azienda certificata sia effettivamente in grado di gestirle.

I principi obbligatori

È interessante notare come il nuovo DPF cerchi di allinearsi in maniera maggiore possibile alle previsioni del GDPR circa il trattamento dei dati personali.

In tal senso sono state inserite delle definizioni di dati personali sostanzialmente analoghe a quelle del Regolamento europeo, includendo anche i dati pseudonimizzati nell’ambito di tale categoria, e riproposti i concetti di Controller (Titolare) e Processor (Responsabile) del trattamento di tali personali, quest’ultimo inteso come il soggetto che tratta i dati per conto del Titolare.

Un importante chiarimento è stato inserito nel DPF circa il controllo della cd. catena di trattamento, ricalcando quanto stabilito dal GDPR: il Processor a cui è stato affidato un trattamento di dati personali, infatti, non può a sua volta sub-affidare tale trattamento ad aziende terze se non a fronte della stipulazione di un apposito contratto che deve garantire il medesimo livello di protezione rispetto a quello previsto nei principi ed assicurare la corretta implementazione degli stessi, in particolare un ulteriore trasferimento dei dati personali (sia negli Stati Uniti sia al di fuori degli stessi) potrà avvenire solamente:

1. per finalità limitate e specificate;
2. sulla base di un contratto tra l’organizzazione certificata e il terzo;
3. solo se tale contratto prevede che il terzo fornisca lo stesso livello di protezione di quello garantito dai principi e dalle previsioni del DPF.

Il primo principio che viene ribadito in maniera forte è quello della limitazione delle finalità, secondo il quale un’organizzazione non può trattare dati personali in una forma che sia incompatibile con lo scopo per il quale gli ha originariamente raccolti.

Ciò vale in particolar modo quando il fornitore statunitense opera in qualità di responsabile, perché in tal caso non potrà effettuare alcun trattamento “aggiuntivo” rispetto a quello strettamente necessario ad erogare il servizio (si pensi ai servizi cloud o a tutti i software forniti in SaaS (Software as a Service) che utilizzando server negli Stati Uniti di fatto operano un trasferimento dei dati verso quel Paese.

È interessante notare che il nuovo frame work prevede espressamente che nel momento in cui il soggetto importatore statunitense intenda modificare l’originaria finalità con una nuova, non incompatibile con la precedente, deve comunque assicurare all’interessati la possibilità di opporsi (opt-out) a tale nuovo trattamento con un meccanismo chiaro ed immediatamente utilizzabile. Ciò vale unicamente per quei nuovi trattamenti che non siano incompatibili con i precedenti, mentre rimane espressamente proibita la possibilità di effettuare dei nuovi trattamenti che nulla abbiano a che vedere con le finalità originarie.

Per quanto riguarda le categorie speciali di dati personali (ossia quei dati relativi alla salute, alle convinzioni politiche, religiose, alla razza, o alle preferenze sessuali) il Data Privacy Framework prevede la necessità di adottare da parte delle aziende che vi aderiscono un meccanismo di opt-in, ossia la necessità che vi sia un espresso consenso da parte dell’interessati per tale tipologia di trattamenti.

I meccanismi di opt-out e di opt-in sono definiti entrambi come il Choice Principle.

Sempre dal punto di vista dei principi il DPF ribadisce alcune indicazioni fondamentali che ritroviamo all’interno dell’art. 5 del GDPR.

Innanzitutto è richiamato il principio di minimizzazione a cui quindi anche le aziende statunitensi dovranno aderire. Ciò significa che le stesse dovranno adeguare la quantità e tipologia di dati raccolti alle finalità del trattamento che intendono effettuare (o che è loro delegato in quanto Responsabili). La minimizzazione comporta altresì che le stesse dovranno conservare i dati unicamente per il periodo di tempo strettamente necessario a raggiungere le finalità relative al trattamento.

Inoltre, le aziende certificate nel framework assumono l’obbligo di garantire la sicurezza del trattamento dei dati, inclusa la protezione contro utilizzi non autorizzati o perdite accidentali, danni o distruzione degli stessi, adottando misure tecniche ed organizzative adeguate, sulla base, così come previsto all’art. 32 del GDPR, di un approccio basato sul rischio.

Molta importanza viene data al principio della trasparenza (il Notice Principle) sulla base del quale le organizzazioni certificate nel DPF hanno l’obbligo di informare gli interessati circa:

1. la partecipazione dell'organizzazione al DPF;
2. il tipo di dati raccolti;
3. lo scopo del trattamento;
4. il tipo o l'identità di terzi parti a cui i dati personali possono essere divulgati e le finalità per farlo;
5. i loro diritti individuali;
6. come contattare l'organizzazione;
7. gli strumenti di ricorso disponibili.

Tali informazioni devono essere rese disponibili dall’organizzazione la quale è anche obbligata a fornire il link del sito del Dipartimento del Commercio in cui è presente la DPF List nonché il sito dell’organizzazione eventualmente scelta per la risoluzione alternative delle controversie.

Oltre ai principi sopra richiamati il nuovo framework obbliga le organizzazioni certificate a riconoscere i diritti degli interessati europei, in particolare il diritto di accedere ai dati, il diritto di ottenere la correzione o rettificazione degli stessi e gli altri diritti già riconosciuti dal GDPR.

Il rispetto di quanto previsto dal DPF da parte dell’organizzazione certificata si basa sul concetto di accountability in base al quale la stessa dovrà prevedere meccanismi effettivi per assicurare la compliance delle previsioni del DPF, stabilendo anche delle verifiche e degli audit di self-assessment, con formazione specifica del personale e degli audit.

I meccanismi di reclamo

Proprio in considerazione del fatto che la Corte di Giustizia Europea ha invalidato il Privacy Shield per la carenza delle possibilità di ricorrere alle decisioni poste in essere per finalità di sorveglianza, il DPF si sofferma in maniera molto dettagliata su tale aspetto.

In primo luogo i cittadini europei, secondo il DPF, hanno possibilità di ricorrere per ragioni di mancato rispetto del DPF alla stessa organizzazione, che è obbligata ad istituire un punto di contatto (interno o esterno).

Le organizzazioni poi sono tenute ad indicare un organismo per la risoluzione alternativa delle controversie (che può essere negli Stati Uniti o in Europa) a cui gli interessati devono poter rivolgersi gratuitamente. La mancata individuazione di tale organismo costituisce inadempimento alle previsioni del DPF e può essere contestata dal Dipartimento del Commercio USA direttamente all’organizzazione certificata.

In terzo luogo, ciascun interessato europeo ha la possibilità di segnalare il mancato rispetto del DPF da parte dell’organizzazione all’Autorità per la protezione dei dati personali dello Stato membro di appartenenza, che potrà ovviamente avviare il procedimento sulla base delle previsioni del GDPR gravando sulle organizzazioni certificate un obbligo di collaborazione. L’Autorità del Paese membro potrà anche riferire l’eventuale inadempimento al Dipartimento del Commercio, alla Federal Trade Commission o al Dipartimento dei Trasporti, affinché si attivino per eventuali azioni nei confronti dell’organizzazione. In tal senso il Dipartimento del commercio ha istituito un apposito punto di contatto per poter risolvere rapidamente tali reclami che dovrebbero concludersi in un periodo non superiore a 90 giorni.

Ma lo strumento di ricorso che sembra più importante, e volto specificamente a superare i rilievi precedenti della Corte di Giustizia Europea, è il nuovo meccanismo di ricorso a due livelli e volto proprio a risolvere le problematiche che sono relative all’accesso ai dati personali trasferiti in USA da parte del Governo americano o delle agenzie di intelligence.

Gli interessati non devono necessariamente provare che i loro dati sono stati oggetto di raccolta per finalità di intelligence, ma possono direttamente rivolgersi alla propria Autorità nazionale per la protezione dei dati che provvederà a trasferire il reclamo all’European Data Protection Board. L’Autorità nazionale ha anche il ruolo di comunicare agli interessati tutte le informazioni sulla procedura, compreso l’esito della stessa.

I reclami saranno esaminati in prima istanza dal “Civil Liberties Protection Officer” dell’agenzia di intelligence statunitense a cui è diretto, che è una nuova figura che ha quale compito di garantire il rispetto della protezione dei dati personali e dei diritti fondamenti da parte delle agenzie.

Qualora il Civil Liberties Protection Officer assuma una decisione che non è conforme alle aspettative dell’interessato questi potrà proporre un ricorso innanzi alla “Data Protection Review Court” (DPRC) per un eventuale riesame di detta decisione.

Questa nuova “Corte” è composta da membri esterni al governo degli Stati Uniti, che sono nominati sulla base di specifiche qualifiche, e che possono essere licenziati solo per giusta causa (come una condanna penale, o essere ritenuti mentalmente o fisicamente inadatti a svolgere i loro compiti) e non possono ricevere istruzioni del Governo statunitense. La Corte ha il potere di indagare sui reclami degli interessati europei, anche per ottenere informazioni dalle agenzie di intelligence, e può emanare decisioni vincolanti.

Completata la procedura l’interessato verrà informato dell’esito e, in una fase successiva, potrà essere altresì informato quando qualsiasi informazione sulla procedura dinanzi alla DPRC non è più soggetta a requisiti di segretezza.

I prossimi passi

L’adozione del nuovo DPF sembra mettere fine, almeno per ora, alla questione relativamente al trasferimento dei dati personali che viene effettuato spesso dalle aziende italiane attraverso l’utilizzo dei servizi informatici delle società statunitensi.

Il framework è già operativo, ma bisognerà comunque attendere il Governo americano attivi il meccanismo di certificazione delle varie società statunitensi e che queste provvedano a certificarsi con il nuovo sistema e porre in essere tutti gli adempimenti ivi previsti.

Una volta compiuti tali passi la decisione di adeguatezza della Commissione Europea consente di non dover più affidarsi a meccanismi contrattuali (come le Standard Contract Clauses) né effettuare valutazioni aggiuntive per procedere ad utilizzare servizi di società USA che trasferiscono dati in quel Paese, essendo la misura di garanzia della decisione di adeguatezza di per sé sufficiente a garantire la legittimità del trasferimento stesso.