Dopo una lunga trattativa, la Commissione europea e gli Stati Uniti hanno trovato un accordo sul nuovo Trans-Atlantic Data Privacy Framework per fare in modo che i dati trasferiti negli USA siano al sicuro, protetti e in linea con quanto stabilito dalla Corte di giustizia dell’UE (Schrems II).
Data Privacy Framework UE-USA: siglato il nuovo accordo
Il 10 luglio 2023 la Commissione europea ha annunciato il via libera al nuovo Data Privacy Framework (DPF) UE-USA: i dati personali ora possono essere trasferiti dall’UE alle società statunitensi.
In un’economia fortemente digitalizzata e globalizzata come la nostra, è una notizia da accogliersi in modo favorevole, risponde infatti alla necessità di far chiarezza dopo i dubbi sulla legittimità dell’accesso ai dati da parte delle agenzie di intelligence statunitensi sollevati della Corte di giustizia dell’Unione Europea.
Queste le principali novità del DPF UE-USA:
- l’accesso ai dati da parte delle agenzie di intelligence statunitensi è limitato a ciò che viene considerato “necessario e proporzionato“
- viene introdotto un nuovo meccanismo di ricorso a due livelli;
- ai cittadini UE è garantito il diritto di accedere ai propri dati, richiedere rettifiche, cancellare i dati errati o trattati illegalmente, accedere a vie di ricorso attraverso un meccanismo indipendente e gratuito di risoluzione delle controversie e un collegio arbitrale
- le garanzie fornite dal governo USA riguardano i dati personali, clausole contrattuali standard, norme aziendali vincolanti
- monitoraggio della Commissione europea periodico con possibilità di rettifica dell’accordo.
Non mancano però dubbi e perplessità sull’efficacia dell’accordo. Abbiamo affrontato l’argomento con Piotr Korzeniowski, CEO di Piwik PRO.
Cosa prevede il Trans-Atlantic Data Privacy Framework?
L’accordo sul trasferimento dei dati tra Unione Europea e Stati Uniti innanzitutto pone fine ad anni di incertezza per l’economia digitale europea e statunitense, ampiamente basata sul trasferimento dei dati. Fornisce, quindi, una base per il trasferimento legale dei dati tra l’UE e gli Stati Uniti.
Dopo Schrems II e l’annullamento del Privacy Shield, il trasferimento dei dati è stato, infatti, sottoposto a un esame legale e le autorità di protezione dei dati di molti Paesi dell’UE hanno definitivo alcuni popolari strumenti di marketing, come ad esempio Google Analytics, non conformi al GDPR.
Il recente accordo risponde, quindi, ad alcune preoccupazioni sollevate da Schrems II, limitando il modo in cui le agenzie di spionaggio statunitensi possono raccogliere informazioni e introducendo nuove condizioni per la raccolta dei dati delle persone, tra cui la garanzia che vengano raccolti solo specifiche tipologie di dati.
Il quadro normativo consente, inoltre, ai residenti dell’UE di ricorrere a una Corte di revisione della protezione dei dati composta da membri esterni al governo statunitense e all’Ufficio per la protezione delle libertà civili. Gli organi possono autorizzare le richieste di risarcimento e indirizzare le misure correttive necessarie.
Le aziende statunitensi, invece, possono aderire al Data Privacy Framework accettando di rispettare le responsabilità in materia di privacy che includono la cancellazione dei dati personali quando non più necessari e la loro protezione quando vengono condivisi con terze parti. Ed infine devono attenersi ai principi di minimizzazione dei dati, limitazione delle finalità e proporzionalità.
Cosa possiamo aspettarci con l’introduzione di questo accordo tra Europa e USA?
Con il quadro normativo in vigore, abbiamo nuovamente una guida chiara su come procedere e i trasferimenti dei dati, almeno dal punto di vista legale, sono molto più facili da eseguire. Una certezza e un sollievo, tanto attesi quanto necessari, per l’economia digitale UE-USA, che si basa molto sui trasferimenti di dati.
Tuttavia, mentre i funzionari di entrambi i continenti lodano la qualità del patto, l’esperto in privacy Max Schrems ha già annunciato che noyb lo contesterà in tribunale in quanto le questioni critiche non sono ancora state risolte. Quindi, sebbene al momento tutto appaia deciso, le organizzazioni che si basano sul trasferimento transatlantico dei dati dovrebbero tenere in considerazione la valida possibilità del verificarsi di uno “Schrems III”.
L’accordo derime tutte le problematicità relative al trasferimento dei dati oppure alcuni aspetti restano critici?
Come anticipato, anche questo terzo tentativo, purtroppo, non compie passi avanti, ma al contrario continua a riproporre le stesse problematiche degli accordi precedenti. Un fatto piuttosto sconcertante che denota una mancanza di responsabilità da parte degli enti governativi e minaccia la crescita delle aziende europee.
Qualora venisse invalidato, tutti i trasferimenti dei dati saranno considerati illegali con effetto retroattivo. Ciò significa per oltre 20 anni.
Regolamentare la digital economy non è banale, quali sono gli aspetti che destano maggiori perplessità e come è importante intervenire?
A nostro avviso, i 3 aspetti che suscitano maggiori perplessità e i motivi per intervenire sono:
- Privacy e diritti: garantire alle persone la tutela del diritto alla privacy e una gestione responsabile dei loro dati personali da parte delle aziende.
- Applicazione: la regolamentazione dei trasferimenti dei dati con un’adeguata applicazione della normativa livella il campo di gioco e consente un flusso regolare di informazioni.
- Concorrenza e innovazione: una regolamentazione ben ponderata favorirà la concorrenza leale e l’innovazione, impedendo pratiche monopolistiche.
Quali accortezze è bene adottino le aziende che si basano sul trasferimento transatlantico dei dati?
Il nostro consiglio alle aziende è di aggiornare lo stack tecnologico e le procedure per renderle a prova di Schrems III. Raccomandiamo, quindi, di eseguire un audit tecnologico per mappare tutti i flussi di dati e identificare i sistemi che si basano su trasferimenti di dati verso gli Stati Uniti e ove possibile, di passare a un provider europeo con hosting all’interno dell’Unione – azione che permetterà di eliminare completamente il problema del trasferimento dei dati.
Se tale cambio non fosse possibile, suggeriamo di collaborare con i team legali e tecnici per introdurre ulteriori misure di sicurezza che consentano di mitigare i potenziali rischi futuri.