Se gestisci un sito web, una newsletter o un e-commerce e utilizzi software o servizi di società americane come Google Analytics, questo articolo fa al caso tuo.
Dopo tre anni di incertezze, 10 luglio 2023, è stata adottata un’importante decisione riguardante la protezione dei dati personali ovvero il Trans-Atlantic Data Privacy Framework. Vediamo di cosa si tratta.
Trasferimento dei Dati USA: Complessità e Rischi
Trasferire dati in USA non significa caricare un container di dati e spedirli al di là dell’oceano!
La circolazione dei dati avviene velocemente attraverso reti e tecnologie, con server che possono essere posizionati in qualsiasi parte del mondo. E questo comporta delle preoccupazioni significative riguardo la protezione dei dati personali con riferimento alla normativa nordamericana, che è notoriamente più favorevole alle autorità federali, spesso a scapito dei diritti dei singoli cittadini.
Ecco perché chiunque utilizzi software erogati da società statunitensi per gestire dati dei propri clienti o utenti si trova a fare i conti col problema del trasferimento dei dati negli Stati Uniti (mi riferisco ai software che archiviano dati di altre persone, come autorisponditori, software analitici o siti web).
Anche se le società nordamericane posizionassero i loro server altrove, resterebbero comunque sottoposte alle leggi USA e potrebbero essere costrette a rispondere a richieste di accesso ai dati da parte di agenzie governative come l’FBI o l’NSA.
Questo problema è emerso chiaramente quando, nel luglio 2020, la Corte di Giustizia Europea ha invalidato il Privacy Shield Framework, un meccanismo che permetteva l’utilizzo di servizi di aziende statunitensi che si fossero “certificate” nel rispetto di determinate regole. Per maggiori approfondimenti, leggi Schrems II: un problema per tutti i business online.
Nuove Regole per la Protezione dei Dati: Cosa Cambia con il Trans-Atlantic Data Privacy Framework
Dopo quasi tre anni di incertezze, finalmente il 10 luglio 2023, la Commissione Europea ha approvato la decisione di adeguatezza con il nuovo Trans-Atlantic Data Privacy Framework.
Ecco le principali novità:
- Il nuovo meccanismo prevede uno speciale monitoraggio e revisione del sistema, che avverrà tra un anno e successivamente ogni quattro anni.
- Viene limitato il potere di accesso ai dati da parte del governo nordamericano, circoscrivendolo a richieste proporzionali ai motivi di sicurezza nazionale addotti come giustificazione.
- Il meccanismo introduce un sistema di controllo bilaterale tra l’Unione Europea e gli Stati Uniti, coinvolgendo non solo le autorità europee ma anche il Dipartimento del Commercio degli Stati Uniti.
- Una delle novità più significative è l’istituzione della Data Protection Review Court, che offre ai cittadini europei la possibilità di tutelare i propri diritti riguardo ai dati personali.
Tutte queste misure sono state progettate per ridurre le potenziali minacce alla privacy dei cittadini europei derivanti dal trasferimento dei dati negli Stati Uniti ma, naturalmente, la loro efficacia dovrà poi essere verificata nei fatti, nella loro applicazione concreta.
Trans-Atlantic Data Privacy Framework: i limiti
Nonostante gli aggiornamenti, è importante sottolineare che il Trans-Atlantic Data Privacy Framework non rappresenta una decisione di adeguatezza per gli Stati Uniti nel loro insieme.
Le leggi statunitensi sulle pratiche di sorveglianza e di accesso ai dati dei cittadini restano invariate. Pertanto, il meccanismo si applica solo alle aziende che si sono “certificate” in base alle regole del Framework e non a tutte le aziende nordamericane in generale.
Questo significa che le leggi statunitensi, che possono essere in conflitto con le leggi europee sulla privacy, continuano ad esistere senza essere state modificate.
Maximilian Schrems, l’avvocato attivista che ha presentato e vinto i ricorsi contro il Safe Harbour (Schrems I) e contro il Privacy Shield Framework (Schrems II) ha già annunciato che non c’è due senza tre e che, quindi, si sta già preparando per lo Schrems III.
Peraltro anche il Parlamento Europeo, interpellato per fornire un proprio parere sul testo della Decisione di adeguatezza prima che venisse pubblicato ufficialmente, aveva sollevato dei dubbi e delle perplessità che non sembrano essere stati presi in considerazione e che, quindi, sono rimasti irrisolti.
Trans-atlantic Data Privacy Framework: Cosa fare ora?
La decisione del Trans-Atlantic Data Privacy Framework è senz’altro un passo avanti, ma le incertezze e le sfide persistono.
La Commissione Europea deve continuare a monitorare attentamente l’applicazione e l’efficacia del nuovo meccanismo di certificazione per assicurarsi che protegga adeguatamente i dati personali dei cittadini europei.
È importante per le aziende europee, i professionisti del settore e i cittadini stessi rimanere informati sugli sviluppi futuri e sulle potenziali sfide che potrebbero sorgere.
L’incertezza del Trans-Atlantic Data Privacy Framework richiede una maggiore attenzione e riflessione per garantire che le informazioni personali siano trattate con la massima cautela e rispetto.
Il consiglio che mi sento di dare è quello di fare un check dei tool che si utilizzano e di individuare quelli che prevedono (o che potrebbero prevedere) il trasferimento dei dati negli USA; una volta individuati questi servizi, è opportuno effettuare un’analisi approfondita (per conto proprio o con l’aiuto di un consulente tecnico) per verificare se vi siano delle altrettanto valide alternative da vagliare.
In caso positivo, meglio optare per delle soluzioni più stabili, che non costringano a dover rivedere tutto il proprio assetto digitale tra un anno o, peggio, a dover operare in modo illegale.
In caso negativo, non ci resta che rimanere in attesa che la “macchina burocratica” del Trans-Atlantic Data Privacy Framework venga messa in moto, per consentirci di verificare se le aziende statunitensi che forniscono i servizi o i tool di nostro interesse siano o meno ricomprese nell’elenco, per poter, almeno per il momento, utilizzare legittimamente questi strumenti sui propri siti e nei funnel di marketing.
Conclusioni
In conclusione, il Trans-Atlantic Data Privacy Framework rappresenta una risposta alla necessità di una maggiore protezione dei dati personali che vengono trasferiti negli USA.
Tuttavia, il meccanismo di certificazione deve dimostrare la sua efficacia nel tempo e affrontare le criticità emerse nel passato e, quindi, la questione purtroppo non può dirsi ancora del tutto risolta.
Segui questo blog per ulteriori approfondimenti e consigli su come proteggere i dati personali e in conformità alle normative vigenti.