guida-tedesca-DPF

Guida tedesca al Data Privacy Framework

18 Settembre 2023

Il 4 settembre 2023, l’Autorità tedesca per la protezione dei dati (DSK) ha pubblicato una guida sulla decisione di adeguatezza del 10 luglio 2023 che approva l’UE -USA Data Privacy Framework (DPF). La guida del DSK fornisce un altro strumento per gli esportatori e gli importatori di dati negli Stati Uniti per mettere in pratica il DPF.

I punti più interessanti della guida per i Titolari e i Responsabili del trattamento che intendono utilizzare il DPF per i trasferimenti transatlantici di dati sono riportati di seguito:

Ambito di applicazione del DPF

Come già indicato nel nostro articolo EU-US DATA PRIVACY FRAMEWORK, per poter partecipare al DPF bisogna essere un ente certificato. Ad oggi le autorità responsabili della certificazione sono le organizzazioni statunitensi sotto la supervisione della Federal Trade Commission (FTC) o del Dipartimento dei trasporti degli Stati Uniti (DOT), sebbene il DPF indichi che altre autorità potrebbero essere responsabili in futuro.

L’Autorità Tedesca sottolinea che settori specifici come quello bancario, assicurativo o dei fornitori di reti pubbliche di telecomunicazioni non rientrano nella supervisione dell’FTC o del DOT e, pertanto, un trasferimento di dati personali in questi settori potrebbe non essere possibile sulla base del DPF.

Inoltre, come chiarimento, indica che quasi tutti i trasferimenti di dati personali dall’UE alle organizzazioni statunitensi certificate possono essere basati sul DPF, ma ci sono un paio di eccezioni da tenere in considerazione:

  • Il DPF non si applica ai trasferimenti di dati personali da entità al di fuori dell’UE/SEE, per i quali si applica il GDPR ai sensi dell’articolo 3, paragrafo 2, del GDPR (offerta di beni/servizi ai clienti dell’UE o monitoraggio del loro comportamento).
  • I trasferimenti di dati personali nell’ambito del giornalismo o degli archivi dei media non possono essere basati sul DPF a causa di un’eccezione per il giornalismo.

Inoltre, il DPF si applica solo per i “dati delle risorse umane” quanto la voce “Dati delle risorse umane” viene indicata nell’appartato dell’elenco dedicato all’importatore. Essi sono trasferiti nel contesto dei rapporti di lavoro e se la rispettiva organizzazione statunitense è verificata per tali dati delle risorse umane, poiché la certificazione non include necessariamente questo).

Differenze interessanti rispetto al GDPR

Le norme a cui sono soggetti gli importatori di dati ai sensi del DPF hanno un contenuto simile al GDPR e corrispondono essenzialmente ai requisiti dei principi dello scudo per la privacy e dei principi dell’approdo sicuro. Tuttavia, ci sono due differenze rispetto alla protezione ai sensi del GDPR:

  • Il DPF non si basa su un divieto generale con eccezioni limitate, ma su un meccanismo di “notifica e scelta”. Di conseguenza, i trasferimenti successivi e le modifiche alle finalità del trattamento sono consentiti solo se l’importatore dei dati notifica gli Interessati, ad esempio sulle categorie di dati, le finalità del trattamento e i destinatari o le categorie di destinatari (“avviso”) e fornisce un meccanismo di opt-out (“scelta”). Questo concetto è molto più pratico e molto più facile da gestire rispetto all’approccio più restrittivo adottato dal GDPR.
  • Un’altra differenza interessante si applica al diritto di accesso dell’Interessato. Il diritto di accesso dell’interessato concesso ai sensi del DPF è soggetto ad un’analisi costi-benefici e non si applica se gli sforzi e i costi per la concessione di tale accesso non sono proporzionati considerando i rischi per la privacy degli interessati nel rispettivo caso. Ancora una volta, questo approccio è molto più pratico e dovrebbe prevenire gli abusi del diritto di accesso degli interessati, che stanno diventando sempre più comuni nell’UE.

Utilizzo di altri strumenti per il trasferimento di dati

l DSK sottolinea che la decisione di adeguatezza è vincolante per tutto il tempo in cui è in vigore. Allo stesso tempo, affermano che i trasferimenti rimangono possibili sulla base di altri strumenti di trasferimento come le clausole contrattuali standard o le norme vincolanti d’impresa. In tale contesto, la DSK osserva che i trasferimenti basati su tali strumenti richiedono una valutazione d’impatto dei trasferimenti e potenzialmente l’attuazione di misure supplementari.

Tuttavia, le misure aggiuntive attuate dal governo degli Stati Uniti si applicano indipendentemente dal meccanismo di trasferimento scelto. Di conseguenza, gli esportatori di dati possono prendere in considerazione il DPF nella loro valutazione d’impatto dei trasferimenti e nel valutare misure supplementari per garantire adeguate garanzie.

Fonte: https://www.datenschutzkonferenz-online.de/media/ah/230904_DSK_Ah_EU_US.pdf 

Maria Navas Dorado
About

Abogado dell'Ordine di Siviglia, ha una profonda esperienza in ambito privacy e ha sviluppato negli anni competenze e professionalità in vari contesti internazionali.

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!

Contattaci