Quadro sulla protezione dei dati | Data Privacy Framework. Guida completa al Trasferimento dati Svizzera – Stati Uniti d’America

Il 14 agosto 2024, il Consiglio federale svizzero ha approvato il Swiss-U.S. Data Privacy Framework (Swiss-U.S. DPF), stabilendone l’entrata in vigore per il 15 settembre 2024.

Con questa decisione, le aziende americane che aderiscono al Swiss-U.S. DPF garantiscono un livello di protezione dei dati adeguato ai sensi della Legge federale sulla protezione dei dati (LPD).

L’ elenco delle aziende americane che aderiscono al CH-U.S. DPF può essere visionato al sito www.dataprivacyframework.gov mantenuto ed aggiornato dal U.S. Department of Commerce (DoC).

Pertanto, il trasferimento di dati personali verso queste aziende potrà avvenire senza necessità di stipulare clausole contrattuali tipo adottate dalla Commissione Europea (SCC) o fornite dal COE nell’ambito della Convenzione 108+ o di effettuare un’analisi preliminare dell’impatto del trasferimento dei dati (TIA).

Decisione del Consiglio federale

Il Consiglio federale ha riconosciuto che il Swiss-U.S. Data Privacy Framework (CH-U.S. DPF) offre un adeguato livello di protezione dei dati per i trasferimenti di dati personali dalla Svizzera agli Stati Uniti, quando effettuati verso aziende americane certificate.

Di conseguenza, l’allegato 1 dell’Ordinanza sulla protezione dei dati (OPDa) sarà aggiornato per includere gli Stati Uniti tra i paesi che garantiscono un livello adeguato di protezione dei dati, limitatamente ai trasferimenti effettuati nell’ambito del CH-U.S. DPF.

Necessità di un accordo di trasferimento dei dati

Sebbene il CH-U.S. DPF semplifichi i trasferimenti di dati, si consiglia comunque agli esportatori di dati di stipulare un accordo di trasferimento con l’importatore di dati, assicurando la conformità ai principi del CH-U.S. DPF, la permanenza della certificazione, e prevedendo misure in caso di rimozione dall’elenco del DPF.

A ciò si aggiunga che se il trasferimento è fra Titolare e Responsabile – l’applicazione dell’articolo 9 LPD e dell’articolo 7 OPDa e la sottoscrizione di una nomina sarà obbligatorio.

Gestione delle SCC o delle regole aziendali vincolanti esistenti

Le SCC o le regole aziendali vincolanti già esistenti potrebbero non essere più necessarie per i trasferimenti di dati a importatori americani che partecipano al CH-U.S. DPF. Tuttavia, le aziende dovrebbero valutare se mantenere tali strumenti come misura precauzionale, specialmente in caso di possibili controversie giudiziarie che potrebbero influenzare la validità del CH-U.S. DPF.

Rimozione delle aziende dall’elenco del DPF

Le aziende americane potranno essere rimosse dall’elenco del DPF per volontario ritiro, mancata ricertificazione o violazione persistente dei principi del DPF. In tali casi, i trasferimenti di dati effettuati prima della rimozione rimarranno validi, mentre quelli successivi richiederanno misure alternative di protezione come le SCC o le BCR quando applicabili.

È ancora necessario stipulare un accordo di trasferimento dei dati nell’ambito del CH-U.S. DPF?

Come sopra suggerito, anche se il trasferimento di dati personali avviene nell’ambito del CH-U.S. DPF, è generalmente consigliabile per gli esportatori di dati concludere un accordo di trasferimento con l’importatore di dati.

Questo accordo dovrebbe includere specifici elementi, oltre alle condizioni che regolano il trasferimento dei dati nelle circostanze particolari:

  • L’obbligo di conformarsi ai principi del CH-U.S. DPF;
  • L’obbligo di mantenere la certificazione nell’ambito del CH-U.S. DPF;
  • L’obbligo di notificare immediatamente all’esportatore la rimozione dall’elenco del DPF e le ragioni di tale rimozione;
  • Un meccanismo per gestire le conseguenze della rimozione dall’elenco del DPF.

Si raccomanda, inoltre, in caso di trasferimento Titolare (data controller) su Responsabile (data processor) di predisporre un atto di nomina per ciascun responsabile del trattamento, includendo clausole che garantiscano il rispetto delle tre regole fondamentali stabilite dalla LPD:

  • Confermare che i trattamenti delegati al Responsabile siano legittimi e non soggetti a segreto legale o contrattuale;
  • Includere un allegato specifico (ad esempio, una checklist) che dettagli le misure di sicurezza adottate dal Responsabile, evidenziando la loro idoneità a proteggere i dati personali trattati, e indicando chiaramente eventuali trasferimenti di dati fuori dal territorio svizzero, garantiti da adeguate misure;
  • Identificare i sub-responsabili autorizzati dal Titolare del Trattamento, richiedendo loro di fornire le stesse garanzie di sicurezza richieste al Responsabile.

Quali sono i possibili scenari di trasferimento dati?

Quando si parla di trasferimento di dati personali, esistono diversi scenari basati sui ruoli delle entità coinvolte nel trattamento dei dati.

 Ecco i principali tipi di trasferimento:

  1. Titolare del trattamento verso Titolare del trattamento (Controller to Controller – C2C):
    • In questo scenario, i dati personali vengono trasferiti da un Titolare del trattamento (esportatore di dati) a un altro Titolare del trattamento (importatore di dati) in un paese terzo. Entrambi i titolari decidono in modo autonomo e indipendente gli scopi e i mezzi del trattamento dei dati.
    • Esempio: Un’azienda svizzera trasferisce i dati dei propri clienti a un’altra azienda negli Stati Uniti, dove entrambe gestiscono i dati per i propri scopi specifici.
  2. Titolare del trattamento verso Responsabile del trattamento (Controller to Processor – C2P):
    • Qui, un Titolare del trattamento (esportatore di dati) trasferisce dati personali a un Responsabile del trattamento (importatore di dati) che tratta i dati per conto e sotto le istruzioni del Titolare.
    • Esempio: Un’azienda svizzera trasferisce dati personali a un fornitore di servizi cloud negli Stati Uniti, il quale gestisce i dati secondo le istruzioni dell’azienda.
  3. Responsabile del trattamento verso Sub-Responsabile del trattamento (Processor to Sub-Processor – P2P):
    • In questo caso, un Responsabile del trattamento trasferisce i dati personali a un Sub-Responsabile del trattamento per eseguire parte del trattamento sotto la supervisione del Responsabile e secondo le istruzioni del Titolare.
    • Esempio: Un’azienda IT svizzera, che gestisce dati per conto di un cliente, trasferisce una parte del trattamento a un’altra azienda in India per servizi specifici, come il backup dei dati.

I template suggeriti dal Consiglio d’Europa per i paesi aderenti alla 108 +

Uno degli obiettivi principali della Convenzione 108+ – a cui aderisce anche la Confederazione Svizzera – è facilitare il libero flusso di informazioni tra le Parti della Convenzione e verso Paesi non aderenti, garantendo al contempo che la protezione dei dati personali “segua” i dati quando escono dalla giurisdizione delle Parti.

Questo è essenziale per salvaguardare la dignità umana e i diritti fondamentali, in un contesto in cui il trattamento e il flusso globale dei dati personali sono in continua crescita.

Per assicurare un adeguato livello di protezione al di fuori del territorio di applicazione della Convenzione 108+, sono previsti strumenti giuridicamente vincolanti e applicabili che offrono garanzie standardizzate pre-approvate.

Questi strumenti sono considerati pratici e di facile utilizzo per il trasferimento transfrontaliero dei dati, e sono ampiamente adottati nel settore privato.

Negli ultimi 2 anni (2023 – 2024) il Consiglio d’Europa ha approvato 3 moduli (qui disponibili) che riportano le Clausole Contrattuali Modello per il trasferimento transfrontaliero di dati personali, sviluppato sulla base della Convenzione 108+.

Queste clausole, molto attese, possono fungere da ponte tra strumenti di trasferimento simili utilizzati in diverse regioni del mondo (anche per tutti i Paesi del mondo) e contribuire alla convergenza verso standard globali di protezione dei dati.

Le clausole sono raccomandate per essere utilizzate nella forma adottata.

Condividi:

Articoli recenti

Trova altre notizie