Trasferimento dati personali in USA: arriva il giudizio di adeguatezza della Commissione europea
Importante
novità privacy per tutti i siti web ed ecommerce.
In data
10 luglio 2023, l'Unione Europea, attraverso la Commissione Europea (leggi il
comunicato stampa), ha dato il via libera al sistema di protezione dei dati UE-USA, affermando che gli
Stati Uniti offrono un livello di protezione dei dati sufficientemente elevato, simile a quello dell'UE.
Leggi il
Giudizio di adeguatezza (al momento solo in lingua inglese).
Questa decisione permette il
trasferimento sicuro di dati personali dalle società dell'UE alle società americane che aderiscono a questo sistema, eliminando la necessità di ulteriori misure di sicurezza dei dati.
Questa nuova struttura sulla privacy dei dati consentirà un flusso di dati sicuro per gli europei e offrirà un
ambiente legale stabile per le imprese sia in Europa che negli Stati Uniti.
Questo è frutto dell'accordo che ha raggiunto con il
Presidente Biden l'anno scorso, in base al quale gli USA hanno preso impegni senza precedenti per mettere in atto questa nuova struttura.
La decisione rappresenta un importante passo avanti nella protezione dei dati dei cittadini, nel rafforzamento dei legami economici tra l'UE e gli USA, e nella riaffermazione dei valori condivisi.
SOMMARIO
Contesto di riferimento
Quadro normativo
Tribunale del riesame
Impegni delle aziende statunitensi
Diritti dei cittadini europei
Revisioni periodiche
Conseguenze pratiche per siti web ed ecommerce
Il generatore di documenti legali di LegalBlink si è già adeguato
Cosa aspettarsi per il futuro
Nel
marzo 2022, la Presidente von der Leyen e il Presidente Biden annunciavano di aver raggiunto un accordo di principio su un nuovo quadro per il flusso di dati transatlantico, dopo negoziati tra il Commissario Reynders e il Segretario degli Stati Uniti Raimondo.
Nel ottobre 2022, il
Presidente Biden ha firmato un ordine esecutivo sul "Rafforzamento delle salvaguardie per le attività di intelligence dei segnali degli Stati Uniti", completato da regolamenti emessi dal Procuratore generale degli Stati Uniti Garland.
Questi due strumenti hanno incorporato nel diritto statunitense gli impegni presi dagli Stati Uniti nell'accordo di principio e hanno
integrato gli obblighi delle aziende statunitensi nel Quadro sulla privacy dei dati UE-USA.
Un
aspetto fondamentale del sistema legale statunitense che sancisce queste misure di protezione è l'ordine esecutivo degli Stati Uniti "Enhancing Safeguards for United States Signals Intelligence Activities", che risponde alle preoccupazioni espresse dalla Corte di giustizia dell'Unione Europea nella sua decisione
Schrems II del luglio 2020.
L'articolo 45(3) del Regolamento Generale sulla Protezione dei Dati (GDPR) conferisce alla Commissione il potere di decidere, mediante un atto di esecuzione, che un Paese non appartenente all'UE assicura 'un adeguato livello di protezione' - un livello di protezione per i dati personali che è essenzialmente equivalente al livello di protezione all'interno dell'UE.
L'effetto delle decisioni di adeguatezza è che i dati personali possono fluire liberamente dall'UE (e dalla Norvegia, Liechtenstein e Islanda) a un paese terzo senza ulteriori ostacoli.
Dopo l'annullamento della precedente decisione di adeguatezza sul Privacy Shield UE-USA da parte della Corte di giustizia dell'UE, la Commissione europea e il governo degli Stati Uniti hanno intrapreso discussioni su un nuovo quadro che affrontasse le questioni sollevate dalla Corte.
Il nuovo Quadro sulla privacy dei dati UE-USA introduce misure più rigide per affrontare le preoccupazioni espresse dalla Corte di giustizia europea. Tra queste misure, vi è la
limitazione dell'accesso ai dati europei da parte dei servizi di intelligence statunitensi, che può avvenire solo se strettamente necessario e proporzionato.
È stato anche istituito un
Tribunale per il riesame della protezione dei dati (Dprc), al quale avranno accesso i cittadini dell'UE. Questo nuovo quadro offre vantaggi significativi rispetto al precedente sistema del Privacy Shield.
Se il Dprc determina che i dati sono stati raccolti in violazione delle nuove garanzie, ha il potere di
ordinare la cancellazione di tali dati. Inoltre, le nuove misure di protezione relative all'accesso ai dati da parte del governo diventeranno parte integrante degli impegni che le aziende statunitensi dovranno assumere quando importano dati dall'UE.
Le
imprese statunitensi che aderiscono al Quadro sulla privacy dei dati UE-USA si impegnano a rispettare una serie di obblighi precisi riguardanti la privacy.
Per esempio,
dovranno eliminare i dati personali una volta che non sono più necessari per l'obiettivo per il quale sono stati raccolti, e assicurare una protezione continua dei dati quando vengono condivisi con terze parti.
La legge statunitense prevede una serie di misure di protezione per l'accesso ai dati trasferiti secondo il Quadro da parte delle autorità pubbliche statunitensi, soprattutto per scopi di applicazione della legge e di sicurezza nazionale.
L'accesso ai dati personali è limitato solo a ciò che è strettamente necessario e proporzionato per salvaguardare la sicurezza nazionale.
Insomma, un
allineamento il più possibile al sistema previsto dal GDPR.
I cittadini dell'UE hanno varie opzioni di
ricorso se i loro dati personali vengono gestiti in modo inappropriato da aziende statunitensi. Queste includono meccanismi indipendenti e gratuiti di risoluzione delle controversie e un tribunale arbitrale.
I cittadini dell'UE avranno accesso a un meccanismo di ricorso imparziale e indipendente per la raccolta e l'uso dei loro dati da parte delle agenzie di intelligence statunitensi, che comprende un
nuovo tribunale di riesame della protezione dei dati (Dprc).
Questo tribunale indagherà e risolverà le lamentele in modo indipendente, compresa la possibilità di adottare misure correttive obbligatorie.
Le garanzie implementate dagli Stati Uniti facilitano anche i flussi di dati transatlantici, applicandosi anche quando i dati vengono trasferiti attraverso altri metodi, come le clausole contrattuali standard e le norme vincolanti delle imprese.
Il funzionamento del Quadro sulla
privacy dei dati UE-USA sarà sottoposto a revisioni periodiche. Queste verranno condotte dalla Commissione Europea, in collaborazione con le autorità europee di protezione dei dati e le autorità statunitensi competenti.
La prima revisione avverrà entro un anno dall'implementazione della decisione, per verificare che tutti gli elementi rilevanti siano stati completamente implementati nel sistema legale statunitense e che funzionino efficacemente in pratica.
Questa nuova decisione di adeguatezza per il Quadro sulla privacy dei dati UE-USA rappresenta un
elemento fondamentale per tutti i siti web ed e-commerce, in particolare per quelli che utilizzano strumenti di società americane, come Google Analytics 4 o Facebook.
Con il nuovo Quadro sulla privacy dei dati UE-USA i siti web e le aziende possono utilizzare liberamente questi strumenti
senza violare il GDPR perché il nuovo accordo assicura che i
dati personali trasferiti negli Stati Uniti siano protetti in modo adeguato, alla stregua di come sarebbero protetti all'interno dell'UE.
Questo significa che un sito web o un e-commerce che utilizza strumenti come
Google Analytics 4 o Facebook non dovrà più preoccuparsi di possibili conseguenze legali legate al trasferimento di dati personali negli Stati Uniti. Ciò può facilitare enormemente le operazioni, consentire una migliore analisi dei dati e un marketing più efficace, favorendo allo stesso tempo la protezione dei dati personali dei clienti.
Guardando al futuro,
nonostante il recente accordo e il nuovo Quadro sulla privacy dei dati UE-USA, potrebbero emergere ulteriori sfide legali.
In particolare, l'avvocato austriaco
Max Schrems, che in passato ha già impugnato due volte con successo gli accordi sul trasferimento di dati tra l'UE e gli Stati Uniti davanti alla Corte di Giustizia dell'Unione Europea,
ha fatto intendere che potrebbe contestare anche questo nuovo accordo.
Se Schrems dovesse decidere di procedere, e se la Corte di Giustizia dovesse accogliere il suo ricorso,
l'accordo attuale potrebbe essere annullato, con conseguenze significative per le aziende che si affidano a questo quadro normativo per il trasferimento dei dati personali. In tal caso, ci troveremmo di nuovo in una
situazione di incertezza, con la necessità di negoziare un nuovo accordo o di trovare altre soluzioni per garantire il trasferimento sicuro dei dati personali tra l'UE e gli USA.
Tutto ciò sottolinea l'importanza di
seguire attentamente l'evoluzione della situazione e di prepararsi a eventuali cambiamenti nel quadro normativo del trasferimento dei dati personali tra l'UE e gli USA.
Il nostro Team di legali ha
seguito da molto tempo l'intero sviluppo che ha portato alla decisione di adeguatezza. Per questo motivo il provvedimento non è giunto inaspettato ed è stato possibile adeguare il giorno seguente il
generatore di privacy policy a questa importante novità.
Possiamo dire che è un pò quanto accaduto per l'adeguamento alla
Direttiva Omnibus: l'esperienza dei nostri
avvocati dell'ecommerce, unita a un costante aggiornamento hanno permesso di adeguare il tool anche a questa importante novità del 2023, in modo veloce ed efficace.
La questione del trasferimento dei dati personali è ovviamente in costante aggiornamento. Pertanto, ti inviatiamo a consultare il nostro blog o ad iscriverti alla nostra newsletter per conoscere tutte le novità!
Avv.
Susanna Bianchi - Avv.
Selene Galeazzi
Team LegalBlink