La California è sulla buona strada per “adeguatezza”?

Questo articolo è stato scritto da me e Jason Peterson il 6 aprile 2018. È stato originariamente pubblicato dallo IAPP qui ed è stato ripubblicato con il consenso del mio coautore. Precede l’entrata in vigore del California Consumer Protection Act (#CCPA).

Leggi una guida su CCPA qui

I trasferimenti transfrontalieri di dati personali nell’UE sono altamente regolamentati. Le restrizioni esistenti sono progettate per garantire che il livello di protezione dei dati personali non venga compromesso dall’esportazione dei dati. Un grave onere per la conformità è imposto alle entità statunitensi che importano dati personali dell’UE poiché il quadro normativo sulla protezione dei dati degli Stati Uniti differisce dal quadro dell’UE in modo che, dal punto di vista dell’UE, minano l’effettiva protezione dei dati dell’UE se esportati. Tale onere di conformità non esiste per le entità che esportano dati in un territorio ritenuto adeguato dal punto di vista dell’UE. Il regolamento generale sulla protezione dei dati dell’UE offre una nuova possibilità che può consentire allo stato della California di evitare le restrizioni che normalmente accompagnerebbero un trasferimento transfrontaliero di dati.

Il GDPR vieta il trasferimento di dati personali verso paesi extra UE o organizzazioni internazionali a meno che la Commissione Europea non abbia stabilito che il Paese, l’organizzazione o il territorio che riceve i dati garantisce un livello adeguato di protezione o che il responsabile del trattamento o il responsabile del trattamento abbia fornito garanzie adeguate per il trasferimento (GDPR, articolo 44.) La direttiva sulla protezione dei dati del 1995 proibiva anche i trasferimenti verso paesi extra-UE a meno che non esistesse un livello di protezione adeguato e autorizzava la Commissione europea a prendere decisioni di adeguatezza lasciando alla discrezione degli Stati membri la meccanismi per garantire un livello adeguato di protezione (direttiva articolo 25, 31). Esistono diverse eccezioni al divieto generale (deroghe) per situazioni specifiche, ma devono essere interpretate in modo restrittivo (articolo 49 del GDPR e considerando da 111 a 113 e articolo 26 della direttiva).

Il GDPR si riferisce specificamente alla possibilità che un “territorio” o “uno o più settori specifici” ottengano una decisione di adeguatezza (articolo 45.1 del GDPR). Sebbene questa possibilità non sia stata esplicitamente inclusa nella direttiva, non è affatto nuova. Delle 12 determinazioni di adeguatezza della Commissione europea finora, quattro sono state concesse ai territori dei membri dell’UE o alle dipendenze della corona (le Isole Faroe, un paese autonomo nel Regno di Danimarca), Guernsey, Isola di Man e Jersey, che sono Crown Dipendenze) e una è stata concessa su un quadro di conformità specifico (Privacy Shield). Detto questo, non abbiamo mai visto un territorio extra UE cercare e ottenere una decisione di adeguatezza. Il GDPR apre chiaramente questa porta.

Uno stato degli Stati Uniti, ad esempio la California, potrebbe trarre vantaggio da questa possibilità e ottenere la determinazione dell’adeguatezza dalla Commissione europea anche se gli Stati Uniti nel loro insieme non hanno una determinazione dell’adeguatezza (il quadro di protezione della privacy UE-USA fornisce un metodo per il trasferimento delle organizzazioni i dati dall’UE agli Stati Uniti, ma riguardano solo le entità che si autocertificano e rimangono conformi al quadro). Una decisione di adeguatezza della California potrebbe consentire alle organizzazioni con sede in California di trasferire dati dall’UE senza la necessità di essere certificati Privacy Shield o utilizzare altre garanzie appropriate (come clausole contrattuali standard o regole aziendali vincolanti).

Il regolamento generale sulla protezione dei dati non elenca i requisiti per cui la Commissione europea deve concedere una determinazione dell’adeguatezza, ma fornisce un elenco di fattori da considerare (articolo 45.2). Questi includono: il rispetto dei diritti umani e dello stato di diritto, la pertinente legislazione sulla protezione dei dati sia nel settore pubblico che in quello privato, comprese le norme per il trasferimento successivo dal paese in cerca di adeguatezza a un altro paese terzo, i diritti degli interessati applicabili, i ricorsi giudiziari e altri accordi internazionali del paese terzo, in particolare in relazione alla protezione dei dati.

Per qualificarsi per l’adeguatezza, la California dovrebbe:

  • Attuare una legislazione globale sulla protezione dei dati e abbandonare un approccio settoriale alla protezione dei dati. La California è stata molto attiva nel mettere in atto le normative sulla protezione dei dati e attualmente ha diverse leggi statali su argomenti che vanno dai dati sanitari al furto di identità e alle comunicazioni commerciali indesiderate (un elenco completo di tutte le leggi sulla protezione dei dati della California è disponibile presso il Dipartimento di Giustizia dello Stato della California.
  • Identificare un’agenzia governativa che può fungere da autorità di protezione dei dati o crearla. Tale agenzia avrebbe il compito di far rispettare le leggi sulla protezione dei dati della California, assistere i residenti dell’UE che cercano di far valere i propri diritti ai sensi del GDPR contro entità con sede in California e cooperare con le autorità di protezione dei dati nell’UE. Sono stati compiuti passi in questa direzione. Nello specifico, nel febbraio 2018, l’assemblea della California Marc Levine, contea di D-Marin, ha introdotto l’AB-2128, che avrebbe creato la California Data Protection Authority. L’ambito finale dei compiti che devono essere svolti dall’agenzia è ancora sconosciuto, poiché la proposta ha subito cambiamenti e probabilmente ulteriori modifiche prima dell’approvazione. Tuttavia, il disegno di legge dimostra la volontà politica di intraprendere una riforma della protezione dei dati a livello statale e, di fatto, il Mercury News cita il deputato Levin che crede che “la California ha un ruolo da svolgere e può essere un modello per la legge federale”.

I vantaggi di una decisione di adeguatezza per le società californiane includono la non necessità di richiedere Privacy Shield e sottoporsi al controllo FTC o fare affidamento su onerose clausole contrattuali standard. Ci sono state sfide legali nei tribunali europei per quanto riguarda lo scudo per la privacy UE-USA e le clausole contrattuali standard. Se uno di questi meccanismi di trasferimento venisse invalidato, la decisione non verrebbe automaticamente influenzata da un’adeguata California e i trasferimenti non verrebbero interrotti.

Se la California ricevesse l’adeguatezza, il suo status verrebbe periodicamente rivisto dalla Commissione europea almeno ogni quattro anni, come nel caso di tutte le decisioni di adeguatezza. Un esame di adeguatezza da parte della Commissione terrà conto di “tutti gli sviluppi rilevanti nel paese terzo” e costringerebbe la California a monitorare l’attuazione del loro sistema di protezione dei dati o rischi di perdere la determinazione dell’adeguatezza. La Commissione europea non ha mai revocato una decisione di adeguatezza; tuttavia, si è ipotizzato che alcuni paesi potrebbero perdere il loro stato di adeguatezza in una revisione dopo l’entrata in vigore del GDPR.

Oltre alle sfide poste dalla modifica della legge sostanziale, potrebbero esserci anche limiti nella Costituzione degli Stati Uniti che vietano la capacità della California di regolare la protezione dei dati in modo globale. Trattandosi di un’area regolata a livello federale, una legge generale sulla protezione dei dati della California potrebbe essere ritenuta incostituzionale o anticipata dalle normative federali esistenti. Nel 2005, la Federal Court of Appeals for the 9th Circuit ha scoperto che il Financial Information Privacy Act (CalFIPA) della California, che limitava la condivisione di informazioni personali da parte di istituti finanziari, era impedito dal Federal Fair Credit Reporting Act. Una successiva sentenza del 2009 ha ravvivato parti della legge della California, ma solo per quanto riguarda le restrizioni non già coperte dalla legge federale.

Non è chiaro se la California abbia la volontà politica di passare da un quadro settoriale di protezione dei dati a uno globale. Anche se la volontà esistesse a livello statale, le restrizioni a livello federale potrebbero ostacolare il raggiungimento di questo obiettivo. Tuttavia, è una possibilità che vale la pena esplorare, visti i potenziali benefici dell’eliminazione delle restrizioni UE sul trasferimento di dati per le entità con sede in California.