A un anno di distanza dall’adozione del EU-U.S. Data Privacy Framework (“DPF”), l’European Data Protection Bord (“EDPB”) ha pubblicato delle FAQ volte a chiarire i vincoli gravanti sulle imprese europee che trasferiscono dati personali verso gli Stati Uniti.
Sin dall’entrata in vigore del GDPR, il tema legato al trasferimento extra europeo dei dati personali ha sempre assunto estrema rilevanza, anche in considerazione delle pronunce europee e nazionali stratificatesi in materia; in questo contesto rileva, in particolar modo, il trasferimento di dati verso gli Stati Uniti.
Con la necessità di colmare il vuoto lasciato dalla “caduta” del noto Privacy Shield, il 10 luglio 2023 la Commissione Europea ha approvato la decisione di adeguatezza per il Data Privacy Framework (“DPF”), con l’obiettivo di garantire un livello adeguato di protezione per i dati personali trasferiti dall’UE alle aziende statunitensi aderenti, senza richiedere alle entità europee di implementare ulteriori misure di protezione dei dati.
Il DPF si basa su un sistema di autocertificazione in base al quale le aziende statunitensi si impegnano a rispettare una serie di obblighi in materia di protezione dei dati personali, quali, ad esempio, il principio di limitazione delle finalità, nonché gli obblighi in materia di data minimization e data retention (per approfondimenti “TRASFERIMENTO DATI PERSONALI UE-USA: APPROVATO IL DATA PRIVACY FRAMEWORK”).
A distanza di un anno dall’approvazione del DPF, l’EDPB ha pubblicato delle FAQ per le imprese europee che trasferiscono dati dallo Spazio Economico Europeo alle imprese statunitensi partecipanti all’accordo. In premessa, il documento specifica che non tutte le imprese possono rientrare nell’ambito di applicazione del DPF, applicandosi quest’ultimo alle sole aziende soggette ai poteri di indagine della Federal Trade Commission o del Department of Transportation. Quindi, tra le altre, rimangono escluse organizzazioni senza scopo di lucro, banche, compagnie di assicurazione e i fornitori di servizi di telecomunicazione.
Inoltre, dalle FAQ emerge come le imprese europee prima di trasferire dati alle aziende statunitensi devono verificare che l’autocertificazione ai sensi del DPF sia valida e attiva consultando il registro pubblico disponibile sul sito web del Dipartimento del Commercio degli Stati Uniti. Tale verifica deve eseguirsi anche nei confronti delle società affiliate qualora i dati vengano trasferiti a quest’ultima e non alla società madre. Oltre a ciò, le imprese europee possono trasferire i dati solo se sussiste una legittima base giuridica al trattamento e se vengono rispettati durante l’intero trasferimento i principi sanciti dal GDPR, quali limitazione delle finalità, proporzionalità, accuratezza e obblighi di informazione nei confronti di interessati.
Infine, l’EDPB ricorda che, nel caso in cui il titolare del trattamento, con sede nell’Unione europea, trasferisca i dati a un responsabile del trattamento con sede negli Stati Uniti, occorrerà addivenire ad una formale nomina a responsabile ex art. 28 GDPR a prescindere dalla circostanza che il “destinatario” risulti o meno aderente al DPF. A tanto si aggiunga che, laddove il responsabile aderisca al DPF e, in più, si avvalga di sub-responsabili, anche questi ultimi dovranno assicurare al titolare del trattamento la sussistenza di adeguate misure tecniche ed organizzative compatibili con lo scenario dettato dal framework in commento.
Avv. Pietro Maria Mascolo e Dott.ssa Alice Dal Bello