A un anno dall’entrata in vigore del Data Privacy Framework EU-US (DPF), l’EDPB ha pubblicato le FAQ “EU-US Data Privacy Framework – for European businesses” dedicate, appunto, alle organizzazioni appartenenti allo Spazio Economico Europeo (SEE) che trasferiscono o possono trasferire dati personali a società degli Stati Uniti che aderiscono al DPF.

Ricordiamo che il DPF consiste in un meccanismo di autocertificazione per le aziende statunitensi che permette a queste ultime di ricevere dati personali provenienti da Paesi del SEE.

La decisione di adeguatezza sul Data Privacy Framework

Con questo meccanismo è dunque possibile alle organizzazioni del SEE trasferire dati personali negli Stati Uniti in maniera conforme alla normativa in materia di protezione dei dati personali, e nello specifico, sulla base della decisione di adeguatezza ex articolo 45 del GDPR.

Lo scorso 10 luglio 2023, la Commissione Europea ha infatti ritenuto che gli Stati Uniti garantiscono un livello di protezione adeguato se le imprese statunitensi aderiscono al DPF, impegnandosi pubblicamente a rispettare i principi ed i requisiti di sicurezza ivi contenuti.

Le organizzazioni europee, di conseguenza, non sono tenute ad adottare le ulteriori garanzie di cui all’articolo 46 del GDPR per trasferire i propri dati alle imprese statunitensi, se quest’ultime si sono certificate ai sensi del DPF.

Il programma di autocertificazione al DPF è gestito dall’International Trade Administration (ITA) all’interno del Dipartimento del Commercio degli Stati Uniti che, nello specifico, ha attribuito poteri investigativi ed esecutivi alla U.S. Federal Trade Commission (FTC) o al U.S. Department of Transportation (DoT).

Tutti i soggetti che non rientrano nella giurisdizione della FTC o del DoT (come le banche, le compagnie assicurative, le organizzazioni a scopo di lucro e i fornitori di servizi di telecomunicazione) di conseguenza, non possono autocertificarsi ai sensi del DPF.

Data Privacy Framework: i punti salienti della FAQ

Vediamo, dunque, quali sono i passaggi fondamentali ripercorsi all’interno delle FAQ dell’EDPB in relazione agli adempimenti preventivi al trasferimento di dati personali in capo alle organizzazioni europee.

Verificare che le aziende USA abbiano certificazione attiva e applicabile

L’organizzazione che intende esportare dati personali negli Stati Uniti deve innanzitutto verificare che l’azienda statunitense destinataria dei dati sia in possesso di una certificazione attiva e applicabile e che quindi sia presente all’interno della Data Privacy Framework List.

Bisogna infatti tener presente due aspetti:

1. La richiesta di certificazione di un’impresa ha una validità annuale per cui, nell’ipotesi in cui non abbia completato il processo di ri-certificazione, potrebbe essere scaduta e quindi non più conforme al DPF.
2. Un’azienda statunitense potrebbe ritirarsi volontariamente dall’adesione al DPF e quindi non essere più presente nella Data Framework List. In questo caso si potrà consultare un registro predisposto dall’ITA in cui si troveranno le organizzazioni statunitensi rimosse dalla Data Privacy Framework List insieme all’indicazione delle motivazioni per cui ciascuna organizzazione è stata rimossa. L’eventuale rimozione non ha efficacia retroattiva e, per questa ragione, l’organizzazione non più certificata dovrà continuare ad applicare i principi del DPF ai dati personali ricevuti durante la partecipazione al DPF e per tutto il tempo in cui conserverà tali dati.

Qualora l’organizzazione non sia certificata ai sensi del DPF e quindi non sia presente nella Data Privacy Framework List, si dovranno ricercare e applicare altre garanzie adeguate ai sensi del Capo V del GDPR per poter trasferire i dati personali negli Stati Uniti, quali le Clausole Contrattuali Standard o le Norme vincolanti d’impresa.

Verificare la tipologia di dati personali coperti dalla certificazione

Una verifica ulteriore riguarda la tipologia di dati personali coperti dalla certificazione dell’impresa statunitense.

Se, infatti, normalmente l’adesione al DPF copre tutti i tipi di dati, inclusi quelli sanitari o utilizzati per scopi commerciali, un’eccezione è rappresentata dai dati personali appartenenti ai lavoratori e raccolti nell’ambito di un rapporto di lavoro attuale o precedente (denominati nel DPF: “Human Resources Data”).

È necessario dunque accertarsi che l’azienda statunitense a cui si intendono trasferire dati sulle risorse umane sia effettivamente coperta dal DPF, verificando la presenza della voce “HR” nella sezione “Covered Data”.

Verificare la certificazione delle filiali in caso di gruppi societari

L’azienda statunitense a cui si esportano i dati potrebbe essere un gruppo societario composto da una società madre e le sue controllate. Se l’invio dei dati avviene verso una delle filiali controllate, la presenza della società madre nella Data Privacy Framework list non assicura che anche la filiale sia certificata al DPF.

Risulta pertanto necessario verificare la copertura della filiale accedendo all’elenco del Data Privacy Framework ed esaminare all’interno del profilo dell’organizzazione madre la sezione “Other Covered U.S. Entities and U.S. Subsidiaries” e la sezione “Participation”.

Assicurarsi sempre che il trasferimento dati sia conforme al GDPR

L’organizzazione europea che intende trasferire i propri dati personali verso un’azienda statunitense è tenuta in ogni caso ad assicurarsi che il trasferimento sia conforme alle previsioni contenute nel GDPR.

In prima battuta, l’organizzazione europea dovrà infatti verificare la presenza di una idonea base giuridica per trattare i dati personali che intende trasferire, accertarsi che tutti i principi di cui all’articolo 5 del GDPR siano rispettati e soddisfare i propri obblighi informativi ai sensi degli articoli 13 e 14 del GDPR.

In particolare, l’informativa sulla privacy che deve essere resa agli interessati dovrà spiegare che i relativi dati personali sono trasferiti fuori dal territorio europeo esplicitando sia l’identità dei destinatari dei dati sia il fatto che il trasferimento è coperto dalla decisione di adeguatezza della Commissione europea tramite il meccanismo del DPF.

Se l’azienda statunitense che riceve i dati assume il ruolo di responsabile del trattamento, l’organizzazione europea esportatrice dovrà inoltre concludere un accordo per il trattamento dei dati ai sensi dell’articolo 28 del GDPR (e quest’adempimento prescinde dal fatto che il responsabile del trattamento sia autocertificato ai sensi del DPF).

Qualora il responsabile del trattamento si avvalga di sub-responsabili del trattamento per lo svolgimento di alcune attività per conto dell’organizzazione europea, è necessario che i sub-responsabili rispettino i requisiti previsti dal DPF per garantire il medesimo livello di protezione dei dati personali previsto nel DPF e nell’accordo ai sensi dell’articolo 28 del GDPR.

Si tenga in considerazione che, qualora un sub responsabile non adempia ai propri obblighi di protezione dei dati, il responsabile del trattamento statunitense conserva la piena responsabilità giuridica nei confronti del titolare del trattamento.