Il 10 luglio 2023 la Commissione Europea ha adottato la decisione di esecuzione ("Decisione"), ai sensi del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio ("GDPR"), sull'adeguato livello di protezione dei dati personali ai sensi dell'EU-US Data Privacy Framework ("DPF").
La Decisione colma la lacuna in materia di trasferimenti di dati personali verso gli Stati Uniti creatasi a seguito dell'invalidazione del c.d. Privacy Shield ad opera della Corte di Giustizia dell'Unione Europea nel 2020 (cfr. sent. C-311/18, 16 luglio 2020, Data Protection Commissioner v Facebook Ireland and M. Schrems; Schrems II).
Nella Decisione la Commissione analizza i limiti, le garanzie e i mezzi di ricorso offerti dalla legge statunitense agli interessati dell'UE i cui dati siano trasferiti negli Stati Uniti e conclude che gli U.S. offrono un adeguato livello di protezione ai dati personali trasferiti ad organizzazioni certificate negli Stati Uniti.
La Decisione, nel dettaglio, non legittima trasferimenti indiscriminati verso gli Stati Uniti, ma si basa su di un meccanismo di certificazione. In tale contesto, dunque, le organizzazioni che abbiano i requisiti previsti nella Decisione e che intendano ricevere dati personali dall'UE ai sensi del DPF sono tenute ad autocertificare al Department of Commerce ("DoC") e a dichiarare pubblicamente la propria adesione a specifici principi in materia di protezione dei dati personali emanati dal DoC stesso ("Principi"; cfr. Annex I alla Decisione), garantendo l'effettiva attuazione degli stessi e rendendo disponibili al pubblico specifiche informative privacy in linea con i Principi stessi. Per garantire la piena e continua applicazione dei Principi, il processo di certificazione deve essere ripetuto annualmente. Le organizzazioni statunitensi che abbiano ottenuto la certificazione sono iscritte, ad opera del DoC, presso uno specifico elenco.
Il meccanismo di certificazione è volto, dunque, a garantire, da parte delle organizzazioni certificate, il rispetto dei Principi, che, tra le altre, richiedono alle organizzazioni di fornire all'interessato specifiche informazioni sul trattamento dei propri dati personali (Notice Principle) e consentire allo stesso di effettuare delle scelte consapevoli in merito a tale trattamento (Choice Principle), adottare misure di sicurezza idonee a proteggere i dati personali da eventuali minacce (Security Principle), trattare i dati personali in linea con specifiche finalità e in modo compatibile con le stesse, assicurando che i dati personali siano adeguati al raggiungimento delle finalità, accurati, completi, aggiornati e conservati solo per il tempo necessario al raggiungimento delle predette finalità (Data Integrity and Purpose Limitation Principle), fornire agli interessati meccanismi efficaci per garantire il rispetto dei Principi, ivi inclusi mezzi di ricorso effettivi (Recourse, Enforcement and Liability Principle).
Nel contesto così descritto, dunque, le società che intendano trasferire dati personali dall'UE verso gli Stati Uniti:
- nel caso in cui destinatarie dei dati siano organizzazioni certificate ai sensi del DPF, potranno procedere al trasferimento in assenza di ulteriori autorizzazioni, previa verifica che l'organizzazione selezionata abbia effettivamente completato il processo di certificazione e sia stata inserita nell'elenco delle organizzazioni statunitensi certificate nonché, nel caso di organizzazioni che agiscano quali responsabili del trattamento, previa stipulazione di apposito contratto che vincoli l'organizzazione ad agire dietro specifica istruzione del titolare dell'Unione e a supportarlo nel fornire riscontro alle richieste di esercizio dei diritti degli interessati; la verifica andrà poi svolta anno per anno, al fine di verificare la permanenza nell'elenco;
- nel caso in cui destinatarie dei dati siano organizzazioni non certificare ai sensi del DPF, salvo che non operi una delle deroghe specifiche previste dall'art. 49 del GDPR, dovranno predisporre garanzie adeguate ai sensi del GDPR (e.g., clausole contrattuali tipo approvate dalla Commissione, norme vincolanti di impresa).
