framework-usa-ue

EU-US Data Privacy Framework

26 Luglio 2023

Lo scorso 10 luglio è stata pubblicata la Decisione di adeguatezza per il quadro normativo UE-USA sulla privacy dei dati (Adequacy decision for the EU-US Data Privacy Framework – “DPF”) per cui si permette il flusso di dati personali tra l’UE e le aziende statunitensi partecipanti nel DFP.

Funzionamento del DP. La certificazione

Questo accordo non funziona quindi, come altre decisione di adeguatezza, ma come il suo precedente, il “Privacy Shield”. Infatti è applicabile solo alle Organizzazioni statunitensi che:

  • Svolgono sia il ruolo di Titolare che di Responsabile;
  • Sono soggette ai poteri investigativi e coercitivi della Federal Trade Commission (FTC) o dell’U.S. Department of Transportation (DoT). Sono quindi escluse, ad esempio, banche e compagnie assicurative;
  • Sono state ammesse nel DPF e, quindi, sono state inserite nella DPF List (ovvero l’elenco di ammissioni nel DPF) pubblicata nella pagina web del DPF.

L’adesione al DPF avviene attraverso autocertificazione (o successiva ricertificazione) tramite la quale un’Organizzazione fornisce una presentazione con le seguenti informazioni:

  • dettagli  sulla sua attività in relazione alle informazioni personali che verrebbero ricevute dall’UE;
  • la descrizione delle politiche sulla privacy pertinenti (privacy policy, informativa clienti, etc.) e la data di entrata in vigore;
  • dati di contatto;
  • l’organo statutario competente che conoscerà di eventuali reclami, etc.

Per quanto riguarda questa autocertificazione, è necessario precisare che:

  • In merito alla certificazione, essa è rinnovabile con cadenza annuale.
  • Inoltre, la certificazione potrebbe non riguardare tutti i prodotti/servizi offerti da una relativa organizzazione, poiché certi prodotti e/o servizi potrebbero non rispettare di base i principi richiesti dal DPF.
  • E, ad oggi, è attiva la pagina web del DPF, ma non è stato ancora aggiornato l’elenco di società certificate (l’elenco di ammissioni), essendo presenti le organizzazioni partecipanti precedentemente nel Privacy Shield. Tuttavia, queste aziende dovranno aggiornare le loro politiche sulla privacy per fare invece riferimento ai “Principi Framework UE-USA sulla privacy dei dati”. Tali organizzazioni sono state chiamate ad inserire tale riferimento il prima possibile e, in ogni caso, entro tre (3) mesi dalla data di entrata in vigore del DPF, cioè entro il prossimo 10 ottobre.

Di conseguenza, sarà necessario verificare (i) se l’entità può essere certificata DPF, (ii) se è certificata e (iii) se i prodotti / servizi offerti sono certificati.

Regole e Principi previsti nel Data Privacy Framework

Insieme a quanto detto sopra, il DPF prevede una nuova serie di regole e garanzie vincolanti per limitare l’accesso ai dati da parte delle autorità di intelligence statunitensi solamente a ciò che è necessario e proporzionato per proteggere la sicurezza nazionale, previa adozione di procedure per assicurare un’efficace supervisione dei nuovi standard di privacy e libertà civili. Ulteriormente, annuncia sistemi di monitoraggio e revisione dell’adempimento dei princìpi previsti nel DPF così come un nuovo sistema di ricorso per indagare e risolvere i reclami degli Interessati europei.

Premesse a cui adempiere

Per quanto riguarda i princìpi, il DPF richiede principalmente l’adempimento delle seguenti premesse:

  • Informare le persone sul trattamento dei dati. Tra altro, un’organizzazione deve informare, in forma chiara e in modo visibile, gli interessati su: (i) il compromesso da sottoporre ai Principi Privacy previsti nel DPF; (ii) il collegamento al suo nominativo nell’elenco di ammissione al DPF; (iii) la tipologia di dati personali raccolti; (iv)  i dati di contatto; (v)  il tipo o l’identità delle terze parti che possono trattare i dati; (vi) l’organismo indipendente di risoluzione delle controversie; e (vii)  la responsabilità dell’Organizzazione in caso di ulteriori trasferimenti a terzi.
  • Fornire un sistema di risoluzione delle controversie gratuito e accessibile. In base al principio di ricorso, esecuzione e responsabilità, gli Interessati possono presentare un reclamo direttamente a un’Organizzazione partecipante, la quale deve rispondere all’interessato entro 45 giorni.
  • Cooperazione con il Dipartimento del Commercio degli Stati Uniti e con le autorità di protezione dei dati situate nell’UE, rispondendo prontamente alle domande e alle richieste di informazioni da parte di questi organismi.
  • Mantenimento dell’integrità dei dati e limitazione delle finalità. Le informazioni personali devono essere limitate alle informazioni rilevanti ai fini del trattamento e compatibili con le finalità per le quali sono state raccolte o successivamente autorizzate dall’Interessato. Le Organizzazioni devono inoltre rispettare le regole sulla conservazione dei dati.
  • Garantire la responsabilità per i dati trasferiti a terzi. Per trasferire le informazioni personali a una terza parte che agisce in qualità di Titolare del trattamento, le Organizzazioni devono rispettare i princìpi di notifica e scelta e stipulare un contratto con il titolare terzo che preveda che tali dati possano essere trattati solo per scopi limitati e specificati coerenti con il consenso fornito dall’individuo e che il destinatario fornisca lo stesso livello di protezione dei Principi, informando prontamente l’Organizzazione se definisse di non poter più adempiere a tale obbligo.
  • Trasparenza relativa alle azioni di esecuzione. Le Organizzazioni partecipanti devono rendere pubbliche tutte le sezioni rilevanti relative ai DPF, ovvero qualsiasi rapporto di conformità o di valutazione presentato alla FTC e al DoT.
  • Garantire il mantenimento degli impegni per tutto il tempo in cui i dati vengono conservati. Se una società decide ritirarsi del DPF, ma desidera conservare i dati ricevuti dall’UE, deve dichiarare su base annuale il suo impegno a continuare ad applicare il DPF ai dati o fornire una protezione “adeguata” dei dati con un altro mezzo autorizzato (ad esempio, utilizzando un contratto che rispecchia pienamente i requisiti delle pertinenti clausole contrattuali standard adottate dalla Commissione); in caso contrario, l’Organizzazione deve restituire o eliminare le informazioni.

Insomma, il nuovo quadro normativo presenta sicuramente dei vantaggi rispetto ai sistemi precedenti, come la maggior protezione dei dati dei cittadini europei trasferiti negli Stati Uniti, rispondendo ai requisiti della Corte di giustizia europea. Ciò non significa che questo nuovo quadro non sia privo di controversie e NOYB, – l’organizzazione co-fondata da Max Schreem, ha già dichiarato che farà ricorso contro di esso. Del futuro non c’è dunque certezza…

 

Fonti:

Sito web della Commissione Europe – https://ec.europa.eu/

Sito web del Data Privacy Framework – https://www.dataprivacyframework.gov/

Maria Navas Dorado
About

Abogado dell'Ordine di Siviglia, ha una profonda esperienza in ambito privacy e ha sviluppato negli anni competenze e professionalità in vari contesti internazionali.

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!

Contattaci