Il 14 agosto 2024 1, il Consiglio Federale ha adottato un nuovo quadro per la protezione dei dati personali tra la Svizzera e gli Stati Uniti, denominato Swiss-U.S. Data Privacy Framework (CH-USA DPF). Questo nuovo quadro giuridico, che entrerà in vigore il 15 settembre 2024, permette alle imprese svizzere di trasferire dati personali verso aziende statunitensi certificate senza dover adottare ulteriori garanzie per la protezione dei dati (ad esempio, sottoscrizione delle Standard Contractual clauses (SCC), valutazione d’impatto del trasferimento o utilizzare le eccezioni previste dell’art.17 LPD).
Cosa si intende per azienda certificata?
Come i suoi predecessori “Safe Harbor” e “Privacy Shield”, il DPF definisce una serie di regole di protezione dei dati analoghe a quelle della normativa europea (ad esempio, l’applicazione del principio di trasparenza, la limitazione delle finalità, il diritto di accesso ai dati, ect.) alle quale le aziende statunitensi possono aderire volontariamente impegnandosi a rispettare i principi e le garanzie riguardanti la protezione dei dati. In altre parole, una società che aderisce e ottiene la certificazione viene riconosciuta ufficialmente come un’azienda che garantisce un livello di protezione equivalente a quello svizzero assicurando che i dati trasferiti dalla svizzera verso gli USA siano trattati con lo stesso livello di tutela. La lista delle società statunitensi autocertificate è elencata sulla piattaforma del DPF 2.
L'accesso ai dati da parte delle autorità statunitensi
Alla luce dell’invalidità del “privacy Shield” pronunciato dalla CJUE nel 2020, delle garanzie supplementari sono necessarie. Una delle principali preoccupazioni era l'accesso ai dati da parte delle autorità statunitensi. L’ufficio Federale di Giustizia (UFG) nella sua valutazione sull’adeguatezza, ha concluso che sebbene esistano meccanismi che permettono l'accesso da parte delle autorità USA, il quadro include garanzie sufficienti per prevenire abusi. In particolare, definisce “le condizioni alle quali l’accesso è possibile e garantisce che l’accesso e l’ulteriore utilizzo dei dati sia limitato a quanto necessario e proporzionato per raggiungere l’interesse pubblico” oltre ad avere istituito un tribunale di riesame in materia di protezione dei dati che offre un meccanismo di ricorso per i cittadini svizzeri 3.
Quali scenari per le aziende svizzere?
La creazione di questo quadro era attesa da tempo, soprattutto in seguito all'adozione del Data Privacy Framework (DPF) tra l'Unione Europea e gli Stati Uniti nel luglio 2023. Tuttavia, l’esperienza insegna che il DPF potrebbe essere una garanzia a breve termine e pertanto, per evitare problemi in caso di invalidità del DPF da parte della CJUE (Corte di giustizia dell'Unione europea), sarebbe opportuno mantenere come riserva tutte le misure di garanzie supplementari preesistenti. In particolare, prevedere nel contratto con il fornitore che fintanto che sarà in vigore la decisione di adeguatezza e la certificazione ai sensi del DRP, il trasferimento verso gli USA si farà sulla base del DPF e non su quella delle UE SCC.
Approfondimenti:
1) Comunicato stampa del consiglio Federale: Link
2) Lista delle società certificate: Link
3) Valutazione dell'adeguatezza - Stati Uniti d'America: Link