Che cos'è il programma quadro UE-USA sulla privacy (DPF)?

Il 10 luglio 2023, la Commissione europea ha annunciato di aver adottato una decisione di adeguatezza nell'ambito del Data Privacy Framework (DPF) UE-USA.

È ora possibile effettuare trasferimenti legali di dati dall'UE agli Stati Uniti, a condizione che la vostra azienda autocertifichi le misure di protezione dei dati delineate dal programma.

Tuttavia, esiste ancora qualche incertezza sul futuro a lungo termine e sulla sostenibilità del programma DPF UE-USA.

In questa guida vi insegnerò tutto quello che c'è da sapere sul Programma DPF, vi guiderò attraverso il processo di conformità e vi spiegherò l'interessante storia dei trasferimenti internazionali di dati tra gli Stati Uniti e l'unione Europea.

Che cos'è il programma Data Privacy Framework (DPF)?

Il programma Data Privacy Framework (DPF) è una decisione di adeguatezza sviluppata per facilitare il commercio transatlantico e fornire un meccanismo affidabile per il trasferimento di dati personali dall'UE, dallo Spazio economico europeo (SEE), dal Regno Unito (U.K.), da Gibilterra e dalla Svizzera agli Stati Uniti.

Garantisce che i responsabili del trattamento dei dati statunitensi siano adeguatamente conformi alle leggi sulla protezione dei dati dell'UE, del Regno Unito e della Svizzera, come il GDPR, il GDPR del Regno Unito e la legge federale sulla protezione dei dati (FDPA).

Tecnicamente si compone dei seguenti tre quadri chiave per rendere conto di ogni località:

1. Il Quadro sulla privacy dei dati UE-USA (DPF UE-USA)
2. l'estensione del Regno Unito al quadro normativo UE-USA sulla privacy dei dati (estensione del Regno Unito al DPF UE-USA)
3. Il quadro normativo svizzero-statunitense sulla privacy dei dati (Swiss-U.S. DPF)

Che cos'è una decisione di adeguatezza?

Una decisione di adeguatezza è una procedura formale della Commissione europea che indica che un Paese terzo o un'organizzazione internazionale è in grado di proteggere adeguatamente le informazioni personali degli individui nell'UE, nel SEE, nel Regno Unito e in Svizzera.

Il Regolamento generale sulla protezione dei dati (GDPR) richiede una decisione di adeguatezza per i trasferimenti internazionali senza ulteriore approvazione da parte di un'autorità governativa.

È stato adottato dai legislatori dell'UE nel 2023 ed è stato sviluppato un sito web per il quadro DPF che elenca tutte le aziende che fanno parte del programma.

A chi si rivolge il programma quadro sulla privacy?

Il programma DPF interessa le entità negli Stati Uniti che vogliono trasferire i dati personali di persone nell'UE, nel SEE, nel Regno Unito, a Gibilterra e in Svizzera su server con sede negli Stati Uniti.

Nella prossima sezione, tratterò brevemente qualche dettaglio in più sui soggetti interessati dai tre quadri di riferimento per la privacy creati da questo programma.

DPF UE-USA

Il Quadro sulla privacy dei dati UE-USA si applica al trasferimento di dati personali di persone nell'UE e nel SEE a organizzazioni partecipanti negli Stati Uniti che hanno pratiche di trattamento dei dati coerenti con la legge dell'UE, in questo caso il GDPR.

I principi DPF UE-USA sono entrati in vigore il 10 luglio 2023.

Estensione del Regno Unito al DPF UE-USA

l'estensione britannica del Data Privacy Framework UE-USA riguarda le entità statunitensi che desiderano trasferire i dati personali delle persone dal Regno Unito o da Gibilterra a server situati negli Stati Uniti. Essa consente a tali organizzazioni statunitensi di autocertificare la conformità al DPF.

l'estensione britannica del DPF UE-USA è stata adottata il 17 luglio 2023 ed è entrata in vigore il 12 ottobre dello stesso anno.

DPF svizzero-statunitense

Lo Swiss-U.S. Data Privacy Framework si applica alle entità statunitensi che desiderano trasferire le informazioni personali di persone in Svizzera su server con sede negli Stati Uniti.

I Principi DPF Svizzera-Stati Uniti sono stati adottati il 14 agosto 2024 e sono entrati in vigore il 15 settembre dello stesso anno.

"Le imprese statunitensi che operano nel mercato dell'UE trarranno grandi benefici dal Data Privacy Framework. Il DPF consentirà alle imprese statunitensi di accedere e trattare i dati dell'UE senza dover effettuare valutazioni d'impatto sul trasferimento, incorporare SCC o adottare ulteriori misure". - Ali Talip Pınarbaşı, CIPP/E, & LLM

Cosa devono sapere le aziende sul DPF?

Ci sono diverse considerazioni essenziali che le aziende devono tenere a mente nell'ambito di questo nuovo programma quadro sulla privacy dei dati.

Programma DPF UE-USA e partecipazione

Nell'ambito del Programma DPF, le organizzazioni statunitensi possono scegliere di autocertificare la propria conformità a specifici framework.

Ma è importante notare che la partecipazione all'estensione britannica del DPF UE-USA richiede specificamente una precedente partecipazione al DPF UE-USA.

Conformità al programma DFP UE-USA

Le organizzazioni che in precedenza avevano autocertificato la conformità al Privacy Shield UE-USA o al Privacy Shield Svizzera-USA devono ora conformarsi ai principi DPF pertinenti per continuare a godere dei vantaggi dei rispettivi quadri normativi.

Elenco del quadro normativo sulla privacy dei dati

Per fare affidamento sui Principi DPF per i quadri di riferimento dei dati, le organizzazioni devono essere presenti nell'Elenco dei quadri di riferimento della privacy dei dati.

l'international Trade Administration(ITA) aggiorna questo elenco in base alle richieste di ricertificazione annuali e può rimuovere le organizzazioni non conformi.

Risorse per il quadro DPF UE-USA

l'iTA fornisce risorse e FAQ per assistere le organizzazioni interessate ad autocertificare la propria conformità ai quadri DPF.

"Le aziende devono includere nella loro politica sulla privacy una dichiarazione pubblica del loro impegno a rispettare i principi del Quadro sulla privacy dei dati e informare le persone sui loro diritti garantiti dal Quadro. È inoltre importante che le aziende trattino solo i dati personali rilevanti ai fini del trattamento e che rispettino le disposizioni sulla conservazione dei dati". - Teodor Stanciu, CIPP/E, CIPM

Quali sono i requisiti principali del Data Privacy Framework?

Per autocertificare la conformità al programma DPF UE-USA, è necessario soddisfare requisiti specifici, che esamineremo insieme.

Informare le persone sul trattamento dei dati

Ai sensi del programma DPF UE-USA, dovete informare le persone sulle vostre attività di trattamento dei dati attraverso un'informativa sulla privacy completa.

La vostra politica sulla privacy deve dichiarare l'impegno della vostra organizzazione a rispettare i Principi DPF e deve essere applicabile ai sensi della legge statunitense.

Dovete anche includere i link al sito web del programma DPF e ai meccanismi di ricorso indipendenti per i singoli individui che possono presentare reclami da esaminare.

Inoltre, il contenuto dell'informativa sulla privacy deve informare i singoli utenti sui loro diritti di accesso ai dati, sui requisiti di divulgazione alle autorità pubbliche, sulla giurisdizione di applicazione e sulla responsabilità del trasferimento dei dati.

Risoluzione delle controversie gratuita e accessibile

Per autocertificarsi con il programma DPF UE-USA, il fornitore deve fornire una risoluzione gratuita delle controversie e rispondere ai reclami dei singoli utenti entro 45 giorni.

Dovete fornire un meccanismo di ricorso indipendente per risolvere reclami e controversie senza alcun costo.

L'ITA facilita il processo di risoluzione dei reclami presentati alle autorità di protezione dei dati entro un termine di 90 giorni.

Dovete anche rendere disponibile un arbitrato vincolante se i reclami non vengono risolti attraverso altri meccanismi.

Cooperazione con il Dipartimento del Commercio statunitense

Un altro requisito del programma DPF UE-USA prevede la collaborazione con il Dipartimento del Commercio degli Stati Uniti per quanto riguarda le domande o le richieste inviate all'ITA.

In particolare, dovete rispondere prontamente a tutte le richieste relative al programma DPF.

Mantenimento dell'integrità dei dati e limitazione degli scopi

In base al programma DPF UE-USA, dovete limitare la raccolta di informazioni personali solo a ciò che è rilevante per gli scopi da voi descritti per il trattamento dei dati.

Ai sensi del GDPR, questa è anche nota come base giuridica.

Inoltre, è necessario rispettare tutte le disposizioni GDPR in materia di conservazione dei dati. Questo requisito significa che potete conservare i dati solo per il tempo necessario a raggiungere gli scopi descritti per l'elaborazione delle informazioni.

Garantire la responsabilità per i dati trasferiti a terzi

Per trasferire i dati a un terzo responsabile del trattamento, le organizzazioni devono rispettare i cosiddetti principi di notifica e di scelta e stipulare un contratto che garantisca finalità e livelli di protezione limitati e specificati.

I "principi di notifica e di scelta" significano essenzialmente fornire agli individui una notifica delle informazioni personali che state raccogliendo e offrire loro la possibilità di scegliere come tali informazioni vengono elaborate o utilizzate.

Le organizzazioni devono garantire finalità limitate e protezione della privacy per trasferire i dati a un agente terzo e adottare misure per il corretto trattamento.

Trasparenza delle azioni esecutive

Un altro requisito fondamentale del Programma quadro per la privacy dei dati UE-USA riguarda la trasparenza dei rapporti di conformità.

Le organizzazioni devono rendere pubbliche le sezioni pertinenti al DPF dei loro rapporti di conformità se sono soggette a ordini della Federal Trade Commission(FTC) o del tribunale basati sulla non conformità ai regolamenti sulla protezione dei dati.

Garantire il mantenimento degli impegni per tutta la durata della conservazione dei dati

Le entità sono soggette a determinati impegni in materia di privacy se escono dal Programma DPF ma vogliono conservare i dati personali raccolti.

In particolare, dopo l'uscita, le organizzazioni devono affermare annualmente il loro impegno ad applicare tutti i principi del DPF ai dati conservati o a fornire una protezione adeguata attraverso altri mezzi autorizzati.

Chi applica il programma quadro sulla privacy dei dati?

Parte del Dipartimento del Commercio degli Stati Uniti, l'international Trade Administration o ITA amministra il programma DPF.

Le organizzazioni con sede negli Stati Uniti possono autocertificare la propria conformità al DPF UE-USA, all'estensione britannica del DPF UE-USA o al DPF Svizzera-USA attraverso il sito web del programma Data Privacy Framework (DPF) dell'ITA.

Una volta che un'organizzazione autocertifica la propria conformità, deve aderire ai Principi DPF, che sono applicabili secondo le leggi degli Stati Uniti.

Breve storia del quadro normativo UE-USA sulla privacy dei dati

Come promesso, mi accingo a ripercorrere la storia dei trasferimenti di dati personali tra gli Stati Uniti e l'europa per aiutarvi a capire come siamo arrivati al Programma quadro per la privacy dei dati tra l'unione europea e gli Stati Uniti e per farvi capire perché si sta già discutendo di un possibile caso Schrems III.

Il quadro dell'approdo sicuro e Schrems I

Nel 2000, il Safe Harbor Framework ha disciplinato i trasferimenti internazionali di dati tra gli Stati Uniti e l'europa. Questo accordo è rimasto in vigore per oltre un decennio e ha permesso di trasferire i dati da una frontiera all'altra senza ricorrere a clausole contrattuali standard o SCC.

Ha delineato sette principi chiave, che comprendono:

• Avviso
• Scelta
• Trasferimento verso l'estero
• Sicurezza
• Integrità dei dati
• Accesso
• Applicazione

Ma il 6 ottobre 2015 la Corte di giustizia dell'Unione europea (CGUE) ha emesso una sentenza che invalida l'accordo Safe Harbor.

Il loro ragionamento?

Max Schrems, un avvocato e attivista austriaco per la privacy che all'epoca era uno studente di legge, ha presentato un reclamo al commissario irlandese per i dati personali, affermando che Facebook Irlanda ha condiviso illegalmente le sue informazioni personali con il governo degli Stati Uniti.

Conosciuto come Schrems I, questo caso è nato dopo che le rivelazioni di Edward Snowden hanno esposto il programma di sorveglianza della National Security Agency (NSA).

Poiché il GDPR consente l'accesso ai dati personali solo quando è strettamente necessario, mentre le leggi statunitensi consentono alle agenzie governative di avere un accesso più ampio a tali informazioni, la CGUE ha annullato il programma Safe Harbor.

Lo scudo per la privacy UE-USA e Schrems II

Il 12 luglio 2016, la Commissione europea ha sostituito il Safe Harbor Framework con il Privacy Shield UE-USA.

Progettato in collaborazione tra il Dipartimento del Commercio degli Stati Uniti e la Commissione Europea, il Privacy Shield UE-USA è stato annullato dalla CGUE il 16 luglio 2020, in quanto le leggi statunitensi non proteggevano i dati personali provenienti dall'UE a seguito del GDPR.

Anche in questo caso, si tratta di una causa tra Schrems e Facebook Ireland, nota come Schrems II.

Schrems ha aggiornato la sua denuncia originale, sostenendo che Facebook ha continuato a trasferire illegalmente i suoi dati personali negli Stati Uniti.

Questo caso ha confermato l'uso di clausole contrattuali standard o SCC per fornire livelli di protezione adeguati.

Ci sono voluti tre anni di dibattiti, stesure e riformulazioni perché la Commissione europea e il governo degli Stati Uniti trovassero un accordo sull'attuale programma quadro UE-USA in materia di privacy.

Il futuro del programma DPF

Qual è dunque il futuro del Data Privacy Framework Program?

A questo punto, le cose sembrano in sospeso.

Il DPF UE-USA è molto promettente per la salvaguardia dei dati dei consumatori europei, in quanto consente il trasferimento di informazioni personali dal SEE agli Stati Uniti.

Tuttavia, all'orizzonte si profilano potenziali sfide, che rendono fondamentale per le aziende rimanere informate e caute nel trasferimento dei dati personali.

Un possibile Schrems III all'orizzonte?

A mio avviso, il DPF è uno sviluppo positivo, che mira a trovare un equilibrio tra la protezione dei diritti alla privacy e la facilitazione dei trasferimenti di dati necessari.

Sebbene gli esperti ritengano il nuovo meccanismo di ricorso solido, vale la pena ricordare che Max Schrems (e il suo gruppo NOYB) intendono contestare il quadro giuridico.

Come consumatori attenti alla privacy, dobbiamo capire che il DPF sarà soggetto a revisioni annuali.

Le valutazioni periodiche dimostrano la costante dedizione delle autorità nell'affrontare in modo proattivo le potenziali minacce alla privacy dei consumatori.

Per proteggere efficacemente i nostri dati, dovremmo considerare di integrare i nostri trasferimenti di dati verso gli Stati Uniti con misure aggiuntive. È fondamentale essere prudenti quando si tratta di trasferimenti non inclusi nell'elenco ufficiale del "Data Privacy Framework".

In questi casi, l'utilizzo di misure supplementari, come le clausole standard di protezione dei dati o le norme aziendali vincolanti, può fornire un ulteriore livello di sicurezza.

Se un consumatore ritiene che i suoi diritti alla privacy siano stati violati, ha la possibilità di presentare un reclamo all'autorità nazionale per la protezione dei dati e di avvalersi del meccanismo di ricorso recentemente introdotto.

La possibilità di una collaborazione a livello statale negli Stati Uniti, in particolare con il quadro normativo sulla privacy della California, apre la strada a misure di protezione dei dati ancora più incisive, dimostrando che le autorità stanno esplorando attivamente i modi per migliorare la privacy dei consumatori, ma evidenzia anche la natura complessa della protezione dei dati transfrontalieri.

In conclusione, il Quadro sulla privacy dei dati UE-USA rappresenta un significativo passo avanti nella protezione dei dati personali durante i trasferimenti transfrontalieri.

Integrare i trasferimenti di dati con ulteriori garanzie, soprattutto per quelli non coperti dal quadro normativo, è una mossa intelligente per salvaguardare la vostra azienda.

Ricordate che la vostra privacy è nelle vostre mani.

"Il Data Privacy Framework ha portato la chiarezza tanto attesa dalle imprese su entrambe le sponde dell'Atlantico e semplifica notevolmente le procedure necessarie per i trasferimenti UE-USA. Tuttavia, è improbabile che questo sia l'ultimo colpo di scena e la prospettiva di ulteriori sfide legali è all'orizzonte. Considerando le somiglianze del Framework con il precedente "Privacy Shield", è fondamentale che i nuovi meccanismi di monitoraggio e applicazione stabiliti nel Framework si dimostrino efficaci per garantirne la sostenibilità a lungo termine". - James Ó Nuanáin, CIPP/E, CIPM, CIPT

Come Termly aiuta la conformità alla privacy dei dati

Se dovete conformarvi a leggi come il GDPR, Termly è il vostro sportello unico.

Con il supporto del nostro team legale e dei nostri esperti in materia di privacy, abbiamo tutto ciò che vi serve, da un generatore di informazioni sulla privacy conforme alle leggi generatore di informativa sulla privacy a una gestione del consenso Platform (CMP) personalizzabile che potete configurare per soddisfare i requisiti di consenso opt-in e opt-out.

Forniamo anche altri siti web e politiche legali per aiutare le aziende di tutti i tipi a semplificare i servizi ai clienti e a proteggere meglio se stesse e i loro consumatori online, come il nostro generatore di termini e condizioni e il nostro Generatore di termini e condizioni e politica di rimborso .

Offriamo opzioni gratuite e a pagamento. Gli utenti di Termly Pro+ hanno accesso a tutto ciò che offriamo.

Riassunto

Il programma EU-U.S. Data Privacy Framework ha un impatto sulle aziende e sui consumatori di tutto il mondo che vogliono trasferire in modo sicuro i dati dall'UE/SEE agli Stati Uniti.

Ma la conversazione sui trasferimenti internazionali di dati dall'Europa agli Stati Uniti probabilmente non si fermerà qui. 

Potete contare sul fatto che Termly sarà qui per seguire le notizie relative a questa decisione di adeguatezza e a qualsiasi potenziale modifica in caso di aggiornamento futuro.

Per saperne di più su chi scrive

Scritto da Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Masha è una specialista in sicurezza delle informazioni e trattamento dei dati nonché Certified Data Protection Officer. Negli ultimi sei anni ha lavorato come Data Protection Officer, aiutando piccole e medie imprese a raggiungere la conformità legale. È stata anche mentore della conformità alla privacy per molti acceleratori d'impresa internazionali. È specializzata nell'implementazione, nel monitoraggio e nella verifica della conformità aziendale alle normative sulla privacy (HIPAA, PIPEDA, Direttiva ePrivacy, GDPR, CCPA, POPIA, LGPD). Ha studiato Legge all'Università di Belgrado e superato l'esame di abilitazione alla professione forense nel 2016. Per saperne di più su chi scrive