Lo scorso 10 luglio la Commissione Europea ha adottato l’attesa decisione di adeguatezza per il “Data Privacy Framework” (DPF), strumento che semplifica il trasferimento di dati personali dall’UE verso gli USA. Ma quali sono, in concreto, gli adempimenti richiesti agli operatori comunitari?
Il DPF
Il Data Privacy Framework, come noto, si basa su un sistema di autocertificazione in base al quale le aziende statunitensi potranno dimostrare il proprio impegno a garantire il rispetto dei principi alla base dell’impianto normativo comunitario in materia di protezione dei dati personali, quali, i principi di accountability, limitazione delle finalità, minimizzazione e conservazione limitata dei dati. Occorrerà, inoltre, assicurare agli interessati europei l’esercizio dei diritti accordati loro dal GDPR, quali, a mero titolo esemplificativo, il diritto di accesso, di opposizione, di rettifica e di cancellazione dei dati. Il Framework sarà amministrato dalla Federal Trade Commission degli Stati Uniti, che elaborerà le domande di certificazione e monitorerà periodicamente il rispetto dei requisiti da parte delle aziende partecipanti.
Adempimenti richiesti agli operatori comunitari
Gli operatori comunitari che si trovano nella condizione di scambiare dati personali con un partner o un fornitore avente sede negli USA dovranno, sulla base della nuova decisione di adeguatezza, anzitutto verificare se il destinatario negli Stati Uniti risulti certificato secondo il DPF, a tal fine consultando il sito web dedicato.
Ove tale verifica fosse superata e si decidesse di avvalersi del nuovo scenario al fine di legittimare il trasferimento dati, occorrerà, ove necessario: i) aggiornare le valutazioni di impatto ai sensi dell’art. 35 del GDPR per quanto attiene al trasferimento dati; ii) adeguatamente informare i soggetti interessati attraverso un aggiornamento dell’informativa privacy (nell’apposita sezione dedicata al trasferimento extra UE dei dati), conformemente con quanto statuito dagli articoli 13 e 14 del GDPR; iii) rivedere i contratti in essere, in particolar modo per quanto attiene ad eventuali atti di nomina ex art. 28 GDPR che potrebbero presentare indicazioni non più attuali o pertinenti rispetto al mutato scenario.
Nel caso in cui il soggetto destinatario non abbia aderito al DPF, potranno continuare a trovare applicazione le c.d. “SCC” (Standard Contractual Clauses). In tal caso, compatibilmente con i margini di modificabilità connessi a tale soluzione, potrebbe comunque essere opportuno rafforzare le garanzie alla base del trasferimento, tenuto conto del rafforzamento di tutele introdotte nel contesto normativo statunitense ed alla base della nuova decisione di adeguatezza.
Conclusioni
La modalità di trasferimento garantita dal DPF costituisce, senza dubbio, una soluzione agevole per gli operatori coinvolti. Risulta, ad ogni modo, opportuno porre l’attenzione - per le imprese comunitarie - sugli adempimenti connessi all’adozione di tale soluzione, al fine di garantire l’indispensabile coerenza tra l’“impianto” privacy già implementato e le peculiarità proprie della nuova decisione di adeguatezza. Al contempo, è indispensabile guardare ai possibili nuovi scenari in materia di trasferimento di dati personali verso gli Stati Uniti, anche alla luce delle recenti dichiarazioni rese da Max Schrems circa la possibilità di promuovere un nuovo giudizio dinanzi la Corte di Giustizia Europea.
Avv. Pietro Maria Mascolo e Dott.ssa Rossella Taddei