Trasferimenti negli USA: novità e implicazioni pratiche

ICT-Insider-data-transfer

Autori: Francesca Tugnoli, Eleonora Margherita Auletta

 

 

Il “Data Privacy Framework”: un nuovo orizzonte normativo

In aderenza alla decisione della Corte di Giustizia dell’Unione europea nota come Schrems II[1], la Commissione europea ha avviato le proprie interlocuzioni con il governo americano per verificare la possibilità di adottare una nuova decisione di adeguatezza (di seguito “Decisione”)[2] conforme alle prescrizioni di cui all’art. 45(2) del Regolamento europeo n. 679/2016 (di seguito “GDPR”).

All’esito di tali interlocuzioni, gli Stati Uniti, in data 7 Ottobre 2022, hanno adottato l’Executive Order 14086 ‘Enhancing Safeguards for US Signals Intelligence Activities’ (EO 14086) e hanno aggiornato il quadro normativo – il cd. “Data Privacy Framework” (EU-U.S. “DPF” o “DPF”) – relativo ai trasferimenti di dati personali dall’Unione europea agli Stati Uniti.

In data 10 luglio 2023, la Commissione europea ha emanato una decisione di adeguatezza in forza della quale i trasferimenti di dati personali dall’Europa verso organizzazioni localizzate negli Stati Uniti – che si siano certificate nelle modalità di seguito descritte – possono essere effettuati senza la necessità di apposita autorizzazione e/o ulteriori azioni. Naturalmente, ciò non impatta sulla diretta applicazione territoriale del GDPR, conformemente a quanto previsto dall’art. 3 del GDPR stesso.

 

Come funziona la nuova Decisione?

La Decisione è basata su un sistema di certificazione in tutto e per tutto simile al Privacy Shield. In particolare, affinché un’organizzazione possa certificarsi[3]:

  • deve rispettare un insieme di principi coniati dal GDPR (come, ad esempio, il principio limitazione delle finalità, la previsione di specifiche misure di sicurezza in caso di trattamenti di dati particolari, minimizzazione, esattezza, sicurezza del trattamento, trasparenza, accountability, ecc.), nonché ulteriori principi definiti ed emanati dal Dipartimento del Commercio Americano (“DC”) e descritti nell’Allegato I della Decisione;
  • è soggetta ai poteri investigativi e di controllo della Commissione Federale del Commercio (“CFC”) o del Dipartimento Americano dei Trasporti (“DT”).

Per certificarsi, le organizzazioni dovranno, altresì, pubblicamente dichiarare il proprio impegno al rispetto dei principi di cui all’Allegato I della Decisione, nonché mettere a disposizione delle Autorità le loro procedure privacy per i controlli affinché ne venga verificata l’effettiva implementazione. Inoltre, quale parte del processo di certificazione, le organizzazioni dovranno fornire alcune specifiche informazioni ai DC, tra cui ad esempio, la descrizione delle attività di trattamento svolte, i dati personali oggetto di trattamento di cui si chiede la certificazione, il metodo di verifica cui intendono sottoporsi, nonché l’organo competente – a disposizione dei cittadini europei – per la risoluzione delle controversie per i trattamenti illeciti eventualmente svolti e l’organismo indipendente deputato al controllo e alla verifica del rispetto dei principi cui è soggetta l’organizzazione.

L’ottenimento della certificazione comporta, conseguentemente, l’inserimento dell’organizzazione all’interno dell’apposita lista tenuta dal DC. Le organizzazioni certificate dovranno  ripetere l’iter certificativo con cadenza annuale previa verifica del rispetto dei summenzionati principi indicati nella Decisione.

 

Cosa accade se un’Autorità americana vuole accedere ai dati personali di cittadini europei?

Uno degli aspetti più critici e controversi che avevano determinato l’invalidazione del Privacy Shield, riguardava il rischio che le Autorità americane potessero accedere ai dati personali dei cittadini europei in assenza di qualunque controllo da parte di questi ultimi e dunque in assenza di misure di salvaguardia e possibile tutela da parte degli stessi, con la conseguenza che queste attività di trattamento svolte dai titolari e dai responsabili del trattamento (ossia la comunicazione dei dati a queste Autorità in assenza di base giuridica) erano da considerarsi illecite.

Per superare tale criticità, la Commissione ha inserito nella propria Decisione alcune limitazioni e salvaguardie, inclusi specifici meccanismi di controllo e di ricorso – a disposizione dei cittadini – da svolgersi secondo le procedure locali, ogniqualvolta le autorità pubbliche facciano accesso, in forza della legge penale vigente o per la tutela della sicurezza nazionale, ai dati dei cittadini europei trasferiti negli Stati Uniti (cd. “accesso governativo”).

Inoltre, più nel dettaglio, l’accesso ai dati da parte delle Autorità americane dovrà rispettare le prescrizioni e le condizioni stabilite nei paragrafi 3.1.1. e ss. della Decisione. Le medesime tutele sono previste nell’ipotesi di riutilizzo dei dati per finalità diverse da quelle originariamente previste (cd. “secondary use”).

 

Implicazioni pratiche: l’uso degli strumenti offerti da Google

Dalle informazioni disponibili sul sito dell’International Trade Administration – “ITA”, Google ha aderito alla Decisione[4] certificandosi per i seguenti trattamenti:

  • vendita e marketing a consumatori e aziende;
  • fornitura di servizi e prodotti a consumatori e aziende;
  • gestione, sviluppo e miglioramento dei servizi e dei prodotti di Google e/o di una qualsiasi delle sue filiali statunitensi interamente controllate di seguito indicate;
  • personalizzazione dei servizi e dei prodotti;
  • elaborazione e gestione finanziaria;
  • gestione dei rapporti con fornitori, venditori e partner;
  • prevenzione delle frodi, sicurezza e protezione di Google, delle sue filiali statunitensi interamente controllate e dei nostri utenti;
  • adempimento delle prescrizioni di legge applicabile e degli ordini delle autorità, nonché adempimento degli obblighi legislativi e normativi cui è soggetta; assistenza ai clienti e gestione dei rapporti con i clienti

Dal punto di vista applicativo, la presente certificazione interessa Google LLC e tutte le filiali statunitensi da questa interamente controllate.

 

Take-aways: i vantaggi pratici della certificazione

In caso di fornitori localizzati negli Stati Uniti, per definire gli adempimenti legati al meccanismo di trasferimento, occorre anzitutto verificare se gli stessi si siano certificati[5]. Qualora questi figurino nella lista delle organizzazioni certificate e la relativa certificazione risulti “attiva”, sarà opportuno verificare:

  • la copertura della certificazione relativamente ai servizi esternalizzati;
  • i termini di durata della stessa;
  • e le finalità del trattamento per le quali è stata rilasciata.

A seguito di esito positivo, il trasferimento potrà considerato lecito senza che sia necessario sottoscrivere le Standard Contractual Clauses (“SCCs”) e svolgere un Transfer Impact Assessment (“TIA”).

Nelle restanti ipotesi, sarà, invece, necessario trovare un altro meccanismo di trasferimento in quanto la Decisione non risulterà applicabile.

 

Tornando al caso Google, l’adesione alla certificazione e l’ottenimento della stessa rende finalmente lecito il trasferimento di dati nel contesto dei servizi offerti da quest’ultima, incluso Google Analytics 4. Questo significa in pratica che, nel caso in cui la configurazione di Google Analytics scelta non escluda il trasferimento di dati dall’Europa verso gli Stati Uniti, lo stesso dovrà ritenersi lecito conformemente alla Decisione e a quanto previsto dall’art. 46 del GDPR.

 

 

 

 

[1] Si veda https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091it.pdf.

[2] Per una panoramica sull’evoluzione in materia si veda il nostro articolo precedente  Il trasferimento dei dati personali: tra incertezze e nuovi adempimenti – ICTLC. Inoltre è possibile consultare il nuovo Framework qui: https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091it.pdf.

[3] La lista delle organizzazioni al momento certificate sono disponibili qui: Participant Search (dataprivacyframework.gov).

[4]La presente certificazione si applica a Google LLC e alle sue filiali statunitensi interamente controllate, tra cui X (una divisione di Google LLC) e Chronicle LLC, nonché a qualsiasi altra filiale statunitense interamente controllata da Google LLC nella tramite un’autocertificazione separata da parte di tale entità. Per quanto riguarda i dati personali diversi da quelli relativi alle risorse umane: I dati vengono trattati per vare finalità, a seconda del particolare prodotto o servizio fornito, tra cui: vendita e marketing a consumatori e aziende; fornitura di servizi e prodotti a consumatori e aziende; gestione, sviluppo e miglioramento dei servizi e dei prodotti di Google e/o di una qualsiasi delle sue filiali statunitensi interamente controllate di seguito indicate; personalizzazione dei servizi e dei prodotti; elaborazione e gestione finanziaria; gestione dei rapporti con fornitori, venditori e partner; prevenzione delle frodi, sicurezza e protezione di Google, delle sue filiali statunitensi interamente controllate e dei nostri utenti; adempimento delle prescrizioni di legge applicabile e degli ordini delle autorità, nonché adempimento degli obblighi legislativi e normativi cui è soggetta; assistenza ai clienti e gestione dei rapporti con i clienti. I dati sono trasferiti a terzi come specificato nelle privacy policy, elencate di seguito, tra cui: in casi in cui abbiamo il consenso, da fornitori esterni, dagli amministratori di dominio e per motivi legali”. La certificazione di Google è disponibile qui: Participant Detail (dataprivacyframework.gov)

[5] Si veda nota n. 3.

ICTLC Italy
italy@ictlegalconsulting.com