Trasferimento dati extra UE

Trasferimento dati extra UE

Il regolamento europeo prevede una specifica regolamentazione per i trasferimenti di dati personali al di fuori dello spazio SEE (Spazio Economico Europeo, cioè l'Unione europea più Norvegia, Liechtenstein e Islanda). 

L'intero Capo V (Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali) del regolamento si occupa, infatti, della disciplina dei flussi transfrontalieri dei dati personali, e di conseguenza anche dell'utilizzo dei servizi cloud. Tale regolamentazione è lo strumento col quale le leggi dell'Unione europea in materia di protezione dei dati personali interagiscono col resto del mondo. In tal senso il successo del GDPR dipende molto dal funzionamento di questo meccanismo. 

Ricordiamo che la sanzione in caso di illecito trasferimento di dati all'estero va fino a 20 milioni di euro o al 4% del fatturato annuo. 

 

Definizione di "trasferimento" di dati

Una vera e propria definizione di "trasferimento di dati" non esiste nel GDPR nè è stata fornita dalla Corte di Giustizia europea. Quest'ultima, invece, preferisce focalizzarsi piuttosto sulla protezione dei singoli cittadini. Invece nel 2021 l'EDPB nelle sue Linee Guida ha introdotto 3 criteri cumulativi per poter definire un trasferimento di dati:
- l'esportatore di dati (titolare o responsabile del trattamento) è soggetto al GDPR per il trattamento (anche se non stabilito all'interno dell'UE); 
- l'esportatore di dati trasmette o rende disponibili i dati personali all'importatore di dati (altro titolare, contitolare o responsabile del trattamento);
- l'importatore di dati si trova in un paese terzo o è un'organizzazione internazionale. 
Esportatore e importatore devono essere soggetti diversi, altrimenti non si è in presenza di un "trasferimento" di dati. In sintesi un flusso transfrontaliero dei dati si può definire il trasferimento di dati personali verso un destinatario soggetto a una giurisdizione straniera. Secondo l'EDPB si parla di “trasferimento” anche se l’importatore stabilito in un paese terzo è già soggetto al GDPR, il fattore determinante ai fini della qualificazione del concetto di “trasferimento” è la collocazione geografica delle organizzazioni, che sono al di fuori del territorio dell’UE (alle quali quindi le norme dell'Unione non si applicano più).

Ovviamente vi sono delle eccezioni. Ad esempio la raccolta di dati direttamente dagli interessati nell'UE non si considera un trasferimento di dati personali se avviene ad iniziativa dell'interessato, ad esempio se questi inserisce i dati in un modulo online. Inoltre, secondo la Corte di Giustizia europea la semplice pubblicazione di dati personali su un sito Internet non può considerarsi trasferimento all'estero, in quanto tale trasferimento avverrebbe necessariamente verso tutti i paesi esteri e quindi il regime speciale stabilito per i flussi transfrontalieri finirebbe per diventare un regime generale. Per cui se un solo Stato estero non garantisse un livello di protezione adeguato, gli Stati membri dovrebbero bloccare l'immissione di tutti i dati in rete. In conclusione solo la comunicazione diretta a destinatari specifici rientra nella nozione di "flusso transfrontaliero dei dati". 

Ad esempio, quando si installa una App come Facebook, WhatsApp, LinkedIn, Instagram, ecc ..., queste cercano l'elenco dei contatti presente nello smartphone per abbinare altri potenziali utenti, ciò determina in genere il trasferimento dei dati dei contatti (familiari, amici, colleghi...). Analogamente, utilizzando servizi quali Microsoft Office, Microsoft 365 o Google Docs, scrivendo documenti, fogli di calcolo o presentazioni contenenti dati personali, i dati sono condivisi tramite i detti servizi. Un sito web che utilizza servizi come Google Analytics, Cloudflare, Amazon AWS, Facebook, ecc ..., raccoglie e trasferisce dati personali. Molte delle aziende menzionate hanno sede negli Usa, quindi siamo in presenza di un trasferimento al di fuori del SEE. 

In materia l'EDPB ha pubblicato i seguenti documenti: 
- raccomandazione 1/2020, relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE; 
- raccomandazione 2/2020, relative alle garanzie essenziali europee per le misure di sorveglianza; 
- linee guida 5/2021, sull'Interazione tra l'applicazione dell'articolo 3 e le disposizioni sui trasferimenti internazionali di cui al Capo V del GDPR. 

Per i trasferimenti di dati la regolamentazione è diversa a seconda dei settori: 
- regolamento GDPR: si occupa dei trasferimenti dei privati e della autorità pubbliche; 
- direttiva Polizia: si occupa dei trasferimenti riguardanti le autorità di polizia. 

Per operare un trasferimento di dati all'estero occorre: 
1) una base legale, nel rispetto di tutte le disposizioni del GDPR; 
2) ottemperare alle disposizioni di cui al Capo V del GDPR (art. 44 e seguenti). 

 

Divieto di trasferimento

Mentre la circolazione dei dati all'intero dello Spazio Economico Europeo (SEE) è libera (art. 12 Convenzione 108), i trasferimenti al di fuori del SEE sono generalmente vietati, a meno che non intervengano specifiche garanzie. L'art. 44 del GDPR è chiaro nello stabilire che i trasferimenti di dati personali al di fuori del SEE sono ammessi solo in determinate circostanze. Il regolamento individua due categorie di destinatari in relazione a tale disciplina:
- gli altri paesi
- le organizzazioni internazionali (l'ONU, l'Unesco, e cosi via). 

 

Ipotesi di trasferimento dati extra UE

In generale il trasferimento di dati personali al di fuori dello Spazio SEE è ammesso se il destinatario garantisce un livello di protezione dei dati adeguato a quello europeo. Il requisito dell'adeguatezza, piuttosto che quello dell'equivalenza, consente l'utilizzo di diverse vie per garantire la protezione dei dati. 

La Corte di Giustizia europea ha precisato che anche per il trasferimento dei dati personali verso paesi terzi occorre rispettare il principio dell'approccio basato sulla gestione del rischio, che permea l'intero GDPR. Invece il Comitato europeo per la protezione dei dati (EDPB) ha finora negato il fatto che l'approccio basato sul rischio debba essere preso in considerazione anche nel contesto dei trasferimenti verso paesi terzi ai sensi dell'art. 46 (2) c) GDPR. Di conseguenza, indipendentemente dal tipo di dati trasferiti o dalla probabilità di accadimento, l'unico fattore decisivo sarebbe la situazione giuridica del paese destinatario, se dispone di un livello di protezione adeguato e se il trattamento dei dati può essere protetto da misure aggiuntive. 

 

1) Decisioni di adeguatezza

Il primo caso nel quale è ammesso il trasferimento di dati extra SEE ai sensi del GDPR si ha se il paese terzo garantisce un livello di protezione dei dati adeguato a quello europeo, laddove tale livello di protezione è definito dalla Commissione europea. Il paese terzo può chiedere alla Commissione europea di esaminare la propria legislazione, al fine di ottenere una decisione di adeguatezza (art. 45 GDPR), oppure, se non adeguata, si adopera per le modifiche necessarie al fine di addivenire alla decisione di adeguatezza. Per valutare l'adeguatezza occorre esaminare diversi aspetti del trattamento: la natura dei dati personali, la finalità del trattamento, la possibilità che tali dati transitino in altri paesi prima di giungere alla destinazione, le norme di diritto anche settoriali, le misure di sicurezza osservate. In particolare il livello di protezione deve essere interpretato alla luce della Carta dei diritti fondamentali dell'UE e dell'articolo 46, paragrafo 1, del GDPR, e il titolare del trattamento nonchè il responsabile del trattamento devono garantire adeguate misurre di sicurezza, devono garantire i diritti esercitabili e i mezzi di ricorso effettivi per gli interessati. L'European Data Protection Board ha il compito di fornire un parere alla Commissione. 

Le decisioni di adeguatezza emanate dalla Commissione europea (qui la pagina della Commissione), sono strumenti vincolanti per i paesi dell'Unione, e in base ad esse è ammesso il trasferimento di dati verso il paese indicato. Le decisioni di adeguatezza possono essere modificate, sospese o revocate, se risulta che il paese terzo non soddisfa più i criteri necessari. 

 

2) Trasferimento soggetto a garanzie adeguate (clausole contrattuali standard)

L'art. 46 del GDPR prevede un'ulteriore possibilità di trasferimento dei dati personali verso paesi che non garantiscono un adeguato livello di protezione. Il titolare del trattamento di un'azienda basata in Europa, infatti, può stipulare un contratto col titolare dell'azienda che si trova nel paese terzo, le cui clausole sono tali da offrire un livello di protezione adeguato per il trattamento dei dati. In particolare, si richiede un soddisfacente livello di sicurezza e la tutela dei diritti degli interessati, con meccanismi di ricorso effettivi. 

Non occorre una specifica autorizzazione dell'autorità di controllo nazionale per una delle seguenti ipotesi: 
a) uno strumento giuridicamente vincolante e avente efficacia esecutiva tra autorità pubbliche o organismi pubblici (art. 46 par. 2 lett a); 
b) le norme vincolanti d’impresa (art. 46 par. 2 lett b); 
c) le clausole tipo di protezione dei dati adottate dalla Commissione (art. 46 par. 2 lett c, d); 
d) le clausole tipo di protezione dei dati adottate da un’autorità di controllo e approvate dalla Commissione; 
e) un codice di condotta (art. 46 par. 2 lett e) unitamente all’impegno vincolante ed esecutivo da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati; 
f) un meccanismo di certificazione approvato (art. 46, par. 2, lett. f) unitamente all’impegno vincolante ed esigibile da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati. 

Occorre, invece, l'autorizzazione dell'autorità di controllo nelle seguenti ipotesi:
a) clausole contrattuali tra il titolare del trattamento o il responsabile del trattamento e il titolare del trattamento, il responsabile del trattamento o il destinatario dei dati personali nel paese terzo o nell’organizzazione internazionale (art. 46, par. 3, lett. a); o 
b) disposizioni da inserire in accordi amministrativi tra autorità pubbliche o organismi pubblici che comprendono diritti effettivi e azionabili per gli interessati (art. 46, par. 3, lett. b). 

La Commissione europea, ma anche le autorità di controllo nazionali, possono adottare clausole tipo (clausole contrattuali standard, standard contractual clauses o SCCs) valide ai sensi dell'art. 46. L'esportatore dei dati deve incorporare tali clausole contrattuali in un contratto utilizzato per il trasferimento, così garantendo che i dati saranno trattati conformemente ai principi stabiliti nel regolamento europeo anche nel Paese terzo di destinazione. Anche queste decisioni della Commissione sono vincolanti per gli Stati dell'Unione. 
Ovviamente i titolari del trattamento possono predisporre clausole contrattuali ad hoc da sottoporre alle autorità di controllo. Elementi essenziali saranno la possibilità per gli interessati di esercitare i propri diritti, e l'assoggettamento del destinatario all'autorità di controllo nazionale. 

 

3) Norme vincolanti di impresa (binding corporate rules)

L'art. 47 del GDPR prevede uno specifico strumento per il trasferimento dei dati personali tra società facenti parti dello stesso gruppo d'impresa, laddove una di queste si trovi al di fuori dell'Unione europea. Le binding corporate rules (BCR) (pagina web del sito del Garante sulle BCR) si concretizzano in un documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) per tutte le società appartenenti allo stesso gruppo (corporate). 

Il trasferimento è consentito solo tra aziende che abbiano uno specifico legame societario. Anche in questo caso le clausole devono essere sottoposte alle autorità di controllo, ma è possibile elaborare clausole sulla base di quelle già esistenti e sulle quali già si siano già pronunciati i garanti, in modo da avere sufficiente certezza che siano accolte. 

 

Deroghe all'adeguatezza

La regola generale, quindi, è che i dati personali possono essere trasferiti verso paesi terzi soltanto in presenza di adeguate garanzie nel paese terzo, oppure qualora siano state addotte garanzie adeguate e l’interessato goda di diritti effettivi e azionabili, affinché possa continuare a beneficiare dei diritti fondamentali e delle garanzie. Nel caso in cui non sia possibile applicare gli strumenti per il trasferimento, l'art. 49 del GDPR prevede delle specifiche deroghe alla regola generale dell'adeguatezza. Al contempo l’articolo 44 impone l’applicazione di tutte le condizioni di cui al Capo V al fine di assicurare che il livello di protezione delle persone fisiche garantito dal GDPR non sia pregiudicato. 

Le condizioni previste sono: 
a) l’interessato abbia esplicitamente acconsentito al trasferimento proposto, dopo essere stato informato dei possibili rischi di siffatti trasferimenti per l’interessato, dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate (chiaramente devono sussistere tutti i requisiti del consenso, compreso la specificità);  
b) il trasferimento sia occasionale e necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato; 
c) il trasferimento sia occasionale e necessario per la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato; 
d) il trasferimento sia necessario per importanti motivi di interesse pubblico, ma deve trattarsi di un interesse pubblico riconosciuto dal diritto dello Stato membro del titolare o dal diritto dell’Ue, e non l’interesse pubblico dello Stato terzo ricevente; 
e) il trasferimento sia occasionale e necessario per accertare, esercitare o difendere un diritto in sede giudiziaria, nell'ambito di un procedimento attuale; 
f) il trasferimento sia necessario per tutelare gli interessi vitali dell’interessato o di altre persone, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso; 
g) il trasferimento sia effettuato a partire da un registro che, a norma del diritto dell’Unione o degli Stati membri, mira a fornire informazioni al pubblico e può esser consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse, solo a condizione che sussistano i requisiti per la consultazione previsti dal diritto dell’Unione o degli Stati membri (il trasferimento non può riguardare la totalità dei dati personali o intere categorie di dati personali contenute nel registro). 

L’articolo 49, paragrafo 1, comma 2, introduce una nuova deroga, consentendo il trasferimento di dati personali qualora sia non ripetitivo, riguardi un numero limitato di interessati, e sia necessario per il perseguimento degli interessi legittimi cogenti (quindi non rientrano tutti gli interessi legittimi) dell’esportatore dei dati. Tale deroga è da prevista dalla normativa quale extrema ratio ed è applicabile soltanto "se non è possibile basare il trasferimento su una disposizione dell’articolo 45 o 46, comprese le disposizioni sulle norme vincolanti d’impresa, e nessuna delle deroghe in specifiche situazioni è applicabile". Il titolare deve informare l'autorità di controllo e comunicare i legittimi interessi cogenti agli interessati. 

Le deroghe quindi possono essere utilizzate solo per trasferimenti occasionali e non ripetitivi (vedi EPBD, Linee guida 2/2018 sulle deroghe di cui all’articolo 49 del regolamento), ad esempio, per la prenotazione di un hotel. Cioè i trasferimenti non devono ripetersi con cadenza regolare e devono avvenire in circostanze non ordinarie, ad esempio al manifestarsi di condizioni casuali o ignote e a intervalli di tempo arbitrari. Non sono utilizzabili per i trasferimenti di convenienza, cioè se un'azienda preferisce, per ragioni economiche, trasferire i dati degli europei su server negli Usa, pur potendo fare diversamente (utilizzare server in Europa). Le deroghe in caso di contratto o per motivi giudiziari (articolo 49, paragrafo 1, lettere b), c) ed e)) si applicano esclusivamente a trasferimenti “occasionali”, invece tale restrizione non sussiste qualora l’interessato abbia esplicitamente acconsentito al trasferimento”, in presenza di “importanti motivi di interesse pubblico”, in caso di tutela degli “interessi vitali” e “in presenza di un registro”, in virtù dell’articolo 49, paragrafo 1, lettere a), d), f) e g). Ovviamente il consenso deve essere esplicito, specifico e informato.
In ogni caso tali disposizioni vanno sempre interpretate in maniera restrttiva in quanto non devono contraddire la loro natura di "deroghe". 

 

Clausole contrattuali standard (SCCs) e impatto del trasferimento

La Commissione europea ha adottato nuove clausole contrattuali standard, con parere dell'EDPB, prevedendo un periodo di transizione di 18 mesi per passare da vecchie SCC alle nuove. Con esse ha stabilito il quadro per la valutazione e l'attuazione dei trasferimenti verso paesi terzi con la "Valutazione dell'impatto dei trasferimenti" prescritta nella clausola 14. Le SCCs, basate sull'art. 46 (2) c) del GDPR, sono spesso utilizzate dalle società per fornire una garanzia adeguata per i trasferimenti. Le nuove SCC della Commissione, pubblicate a giugno 2021, prevedono spcificamente (clausole 14 a) e b) la valutazione del rischio e dell'impatto del trasferimento (TIA). Il TIA è sostanzialmente una valutazione di proporzionalità. 

Le parti, quindi, devono assicurare (14 a) di non aver motivo di credere che le norme e le prassi (applicazioni da parte delle autorità) nel paese importatore possano impedire all'importatore dei dati personali l'adempimento degli obblighi di cui al contratto al fine di garantire la tutela adeguata dei dati. La clausola 14 b) elenca una casistica, non esaustiva, da prendere in considerazione: 
- le circostanze specifiche del trasferimento, compresa la lunghezza della catena di trattamento, il numero di soggetti coinvolti e i canali di trasmissione utilizzati, i trasferimenti successivi previsti, il tipo di destinatario, la finalità del trattamento, le categorie e il formato del dati personali trasferiti, il settore industriale in cui avviene il trasferimento, la conservazione dei dati trasferiti; 
- le leggi e le prassi del paese terzo di destinazione, comprese quelle che richiedono la divulgazione dei dati alle autorità pubbliche o l'autorizzazione all'accesso da parte di tali autorità, rilevanti alla luce delle circostanze specifiche del trasferimento e delle limitazioni e garanzie applicabili; 
- eventuali tutele contrattuali, tecniche o organizzative messe in atto per integrare le garanzie di cui alle Clausole, comprese le misure applicate durante la trasmissione e il trattamento dei dati personali nel paese di destinazione. 

La valutazione deve essere incentrata principalmente sulla legislazione del paese terzo. L'EDPB impone all'esportatore obblighi di verifica sugli aspetti legislativi e di prassi, obblighi che vanno oltre i requisiti del GDPR e ignorano l'approccio basato sul rischio. Per la valutazione dell'adeguato livello di protezione l'EDPB fa riferimento alla Raccomandazione 2/2020 sulle misure fondamentali di sorveglianza. Per cui chiede all'esportatore di verificare se e quali rimedi esistono contro l'azione penale e il diritto di accesso e se questi sono conformi agli artt. 47 e 52 della Carta dei diritti fondamentali dell'Unione europea. In sintesi l'EDPB impone all'esportatore una valutazione completa della legislazione e delle prassi del paese importatore che è normalmente un compito arduo anche per le autorità di controllo, non è previsto dall'art. 46 (2) c) del GDPR ma è riservato alla Commissione europea ai sensi dell'art. 45. Compito che potrebbe risultare troppo costoso e improponibile per una piccola o media azienda. Ciò comporterà che in molto casi l'esportatore si fiderà della assicurazioni fornite dall'azienda importatrice. 

Le circostanze concrete del trasferimento, che l'EDPB definisce "fattori oggettivi", devono essere utilizzate solo per valutare la situazione giuridica o delle prassi impedisce all'importatore di adempiere gli obblighi di cui alle SCC, ma non per valutare la probabilità dell'accadimento di un rischio, la gravità del rischio e l'adeguatezza delle misure di protezione. Per cui il trasferimento ex art. 46 (2) c) GDPR non è soggetto al principio dell'approccio basato sul rischio. Una TIA ai sensi della clausola 14 si limiterebbe esclusivamente alla valutazione dell'adeguatezza della situazione giuridica e delle prassi giuridiche per quanto riguarda il livello di protezione. 

 

Trasferimento dati negli Usa e nuovo Data Privacy Framework del 2023

Poiché la maggior parte delle aziende del web sono americane, il trasferimento di dati personali negli Usa è il caso pratico più applicato. La Commissione europea ha approvato una nuova decisione di adeguatezza che consente i trasferimenti verso gli Usa. Ma per comprendere adgutamente la situazione e i limiti di tale strumento occorre ripercorrere sommariamente gli avvenimenti in tema.

Negli anni si sono susseguiti provvedimenti e modifiche. In particolare si è avuta l'invalidazione prima del Safe Harbour e poi del Privacy Shield (16 luglio 2020, sentenza Schrems II) da parte della Corte di Giustizia europea, cosa che evidenziò come la Commissione europea avesse realizzato due strumenti sostanzialmente simili e con le medesime carenze. Con l'invalidazione del Privacy Shield il quadro era decisamente complesso. I trasferimenti necessari erano sempre possibili, come tutti i trasferimenti basati sulle deroghe previste dall'art. 49 del GDPR (purché occasionali e non ripetitivi), quindi trasferimenti basati su accordi contrattuali, oppure sul consenso dell'interessato (che deve essere esplicito, specifico e informato). Non era più ammesso il trasferimento basato sulla convenienza (specialmente economica) dell'azienda. Ad esempio un'azienda che offriva servizi cloud non poteva trasferire i dati dall'Europa negli Usa solo per maggiore convenienza a tenere i dati sui server Usa piuttosto che europei. Eventualmente un'azienda poteva avvalersi delle clausole contrattuali standard, ma era uno strumento problematico, in quanto l'azienda doveva garantire che i dati dell'utente non erano utilizzati, negli Usa, in contrasto con le norme europee, fornendo una garanzia adeguata. Ma il fatto che le agenzie di sicurezza americane hanno, per legge, un accesso privilegiato ai dati, e che non esiste un effettivo rimedio ad una violazione dei dati da parte di tali agenzie, rende piuttosto difficile per un'azienda americana garantire una tutela adeguata. Quindi le clausole contrattuali standard non risultavano una efficace salvaguardia per il trasferimento, ma occorreva una analisi nel concreto della situazione. 

Il problema nasceva dalla presenza di una serie di norme (FISA 702 e EO 12.333) che consentivano un accesso eccessivamente ampio ai dati personali degli europei detenuti dalle aziende americane da parte delle agenzie di sicurezza americane. Tali leggi in realtà si applicano solo a determinate categorie di aziende, cioè i "fornitori di servizi di comunicazione elettronica", cioè nel dettaglio (50 U.S. Code § 1881.Definitions): 
- vettore di telecomunicazioni (telecommunication carrier); 
- fornitore di servizi di comunicazione elettronica; 
- fornitore di servizi di elaborazione remota; 
- qualsiasi altro fornitore di servizi di comunicazione che abbia accesso a comunicazioni via cavo o elettroniche in quanto tali comunicazioni vengono trasmesse o quando tali comunicazioni vengono archiviate e qualsiasi funzionario, dipendente o agente di tale fornitore. 
Invece altre aziende, come banche, compagnie aeree, hotel, compagnie di navigazione, vendite di beni e simili non sono soggette a tali norme, per cui in teoria non si dovrebbe porre alcun problema nell'utilizzarle quali fornitori di servizi. Ovviamente può, però, accadere, che una banca o un hotel utilizzi un fornitore di servizi di comunicazione elettronica, nel qual caso le agenzie Usa possono accedere ai dati trasferiti, e questo rende la tutela "non adeguata" con tutte le conseguenze del caso. 

Però la "sorveglianza" delle agenzie americane si realizza anche nel corso della trasmissione dei dati (in transito o upstream). In tale prospettiva occorre che chi trasferisce i dati si assicuri che siano cifrati, in tal modo ottemperando alle previsioni di cui all'art. 32 del GDPR (misure di sicurezza). In realtà è noto che le agenzie americane (NSA e FBI principalmente) sono in grado di violare alcune forme di crittografia, per cui una protezione totale non sembra possibile. 

Le grandi piattaforme del web americane hanno cercato di mitigare il problema appoggiandosi a consociate europee, così in linea di massima elaborano i dati già adesso sul territorio europeo. Dovevano però accertarsi, che eventuali flussi "interni" dei dati, verso gli Usa siano conformi alle norme europee. In tal senso probabilmente ridurranno notevolmente i flussi verso gli Usa limitandoli ai soli casi nei quali sono applicabili deroghe. Occorre tenere però presente che un'azienda americana (con sede negli Usa) è comunque soggetta alle norme americane indipendentemente dal luogo in cui sono tenuti i server (come il Cloud Act che emenda lo SCA). Per cui occorre indagare nel concreto se l'azienda è soggetta agli obblighi previsti dalle norme Usa. Se la società madre Usa non ha effettivo accesso (o controllo) ai dati sui server europei, anche le agenzie americane non potranno averne accesso. Purtroppo è difficile stabilire preventivamente quale sia il “controllo” rilevante ai sensi della normativa USA, essendo gli Stati Uniti un paese di common law, quindi basato prevalentemente su una casistica ex post. Quando il Cloud Act è stato adottato, l’ipotesi principale da regolare era quella monolitica del cloud provider statunitense con server all’estero. Nella pratica si ritiene che se i dati sono cifrati, il provider non ha l'accesso agli stessi. Analogamente il governo Usa potrebbe richiedere dati di un cittadino non americano solo se esistono Cloud Act agreement con lo Stato nel quale risiedono fisicamente i dati, diversamente il giudice americano dovrebbe tenere in considerazione la normativa del paese in questione per verificare se la richiesta di accesso del governo è in contrasto o meno con tale normativa. 

Dal canto loro le aziende europee (quali esportatori) dovevano assicurarsi che eventuali fornitori esteri garantivano l'adeguatezza della protezione dei dati, rimanendo responsabili nei confronti degli interessati in caso contrario. Alle aziende europee conveniva valutare se esternalizzare determinati servizi a aziende con base in Usa, nel quale caso rischiano di doverne rispondere in caso di inadeguatezza della tutela dei dati. Se l'azienda europea voleva continuare a utilizzare un fornitore basato negli Usa doveva necessariamente analizzare la situazione e verificare quali leggi americane si applicano al trasferimento dei dati. Se la legge consente l'accesso alle autorità americane per soli fini di contrasto e in casi individualizzati e che consentono un effettivo rimedio (accesso soggetto all'approvazione di un giudice), il trasferimento poteva essere operato. Se invece la legge americana consente un accesso indiscriminato (non mirato) ai dati o senza controllo giurisdizionale, il trasferimento non poteva comunque avvenire rimanendone responsabile l'azienda europea nel caso in cui continuasse ad operarlo. Comunque il fornitore Usa era obbligato, in base alla norme europee, ad informare l'azienda europea se è soggetta agli obblighi di sorveglianza delle leggi Usa. 

In questo quadro il 10 luglio 2023 è stato pubblicato il Data Privacy Framework, cioè il nuovo accordo sul trasferimento dei dati personali verso gli Stati Uniti, basato sull'ordine esecutivo dell'amministrazione Biden (EO 14086). Si tratta di un nuovo accordo di adeguatezza che consente il trasferimento dei dati verso gli Usa in quanto la Commissione europea ha stabilito che adesso sussistono garanzie sufficiente per la tutela dei dati personali dei cittadini dell'Unione europea trattati negli Stati Uniti. In sostanza la Commissione certifica che le concessioni del governo americano sono in grado di limitare l'invasività delle agenzie di intelligence americane. Sulla base di tale accordo è quindi possibile trasferire i dati personali verso gli Stati Uniti , senza la necessità di dover attuare ulteriori misure come previsto, invece, per i trasferimenti che si basano sull'art. 46 del GDPR. Si applica dal 10 luglio 2023 alle sole aziende che sono iscritte nel DPF. Deve comunque tenersi presente che il nuovo accordo sembra soffrire di alcune delle carenze dei precedenti, e anche del fatto che sia l'EDPB (parere 5 del 28 febbraio 2023) che il Parlamento europeo (risoluzione 11 maggio 2023) avevano sollevati dubbi sulle garanzie offerte dall'amministrazione americana, senza dimenticare l'annuncio da parte dell'associazione NOYB di Schrems di impugnare anche questo terzo accordo.  

L'EDPB ha adottato una nota informativa che mira a fornire indicazioni sull'impatto della decisione di adeguatezza e sul nuovo meccanismo di ricorso. Infatti la vera novità del DPF è dato da un meccanismo di ricorso (redress) che si applica a tutti i trasferimenti verso gli Usa, non solo a quelli basati sul DPF. Nell'ambito della sicurezza nazionale, precisa la nota, i cittadini UE possono presentare un reclamo alla propria Autorità di controllo per far valere i propri diritti solo in materia di pubblica sicurezza, mentre per gli altri casi dovranno rivolgersi alle autorità americane predisposte.  

Il DPF in realtà appare non molto dissimile dalle precedenti decisioni. Anche qui le aziende Usa aderiscono volontariamente impegnandosi a rispettare una serie dettagliata di obblighi in materia di protezione dei dati personali assoggettandosi ai poteri di indagine e coercitivi della Federal Trade Commissione (FTC) o del Dipartimento USA dei Trasporti. Le agenzie Usa hanno dei limiti all'accesso ai dati per finalità di sicurezza nazionale, e cioè tale accesso è possibile solo in quanto strettamente necessario e proporzionato. Viene inoltre istituito un tribunale apposito che deciderà sulle richieste di risarcimento degli interessati UE. Dubbi sussistono nel momento in cui la raccolta dei dati in blocco pare comunque consentita, le aziende si autocertificano, non ci sono norme chiare sulla conservazione dei dati e il tribunale appare soggetto al Presidente Usa che ne può rimuovere i membri, oltre a modificare le decisioni, per cui è inquadrato nell'esecutivo e non nell'ordine giudiziario.