EU–USA Data Privacy Framework: l’EDPB aggiorna gli strumenti e le procedure per i reclami degli interessati europei.

L’EDPB ha aggiornato alla versione 2.0 tre strumenti operativi collegati al EU–USA Data Privacy Framework (DPF):

-  le FAQ per gli individui europei;

-  le regole di procedura del cosiddetto “Gruppo informale” delle Autorità di controllo UE e

-   modulo-tipo di reclamo

con l’obiettivo evidente di rendere più chiaro, standardizzato e tracciabile il percorso di tutela per l’interessato quando ritiene che un’impresa statunitense autocertificata DPF non rispetti i principi applicabili al trasferimento dei dati personali dal territorio dello Spazio Economico Europeo a quello statunitense.

Il contesto è noto: il Data Privacy Framework è il meccanismo fondato sull’autocertificazione delle imprese USA che, nel perimetro della decisione di adeguatezza, consente trasferimenti di dati personali dallo SEE verso imprese autocertificate senza dover attivare, per quello specifico trasferimento, ulteriori strumenti “aggiuntivi”; proprio per questo l’EDPB concentra l’aggiornamento su ciò che spesso è più critico nella pratica, cioè la gestione delle contestazioni e la “messa a terra” dei rimedi.

Le FAQ (v2.0) hanno un taglio dichiaratamente pratico: aiutano l’interessato a capire quando si è realmente in ambito DPF (ad esempio perché i dati sono stati trasferiti a un destinatario USA autocertificato), quali canali siano percorribili e quale sequenza sia ragionevole seguire, chiarendo anche che per presentare un reclamo a un’Autorità di controllo nazionale occorrono informazioni sufficienti a identificare la vicenda, il destinatario (se noto) e l’oggetto della contestazione; in parallelo, l’EDPB mette a disposizione un modello di reclamo (uso non obbligatorio) che però, di fatto, esplicita quali dati e dettagli sono normalmente necessari per istruire una pratica senza perdite di tempo.

Sul versante procedurale, le nuove regole del “Gruppo informale” chiariscono quando questo canale entra in gioco e come lavora: in sintesi, il Gruppo è competente in particolare per reclami che riguardano dati di risorse umane trasferiti a un’impresa DPF, oppure – per dati non HR – quando l’impresa autocertificata abbia scelto volontariamente questo strumento di risoluzione; il documento disciplina l’organizzazione interna (con Autorità “capofila” e Autorità “co-revisori”), la cooperazione, la raccolta e gestione delle informazioni e anche tempistiche-obiettivo, indicando come regola generale l’intenzione di arrivare a un parere entro 60 giorni dalla ricezione del reclamo (indicazione programmatica, non una garanzia automatica), e chiarendo la logica dell’esito: il parere è descritto come vincolante per l’impresa DPF e, in caso di mancata conformità, il meccanismo prevede un passaggio di escalation verso le autorità statunitensi competenti (con ruoli che, a seconda dei casi, possono coinvolgere il Dipartimento del Commercio e gli organismi di enforcement).

Quanto al modulo-tipo (v2.0), l’impostazione è molto “operativa”: guida l’interessato a inserire i propri dati e contatti, eventuali identificativi usati presso l’impresa, informazioni sull’esportatore nello SEE se conosciuto, indicazioni sull’impresa destinataria autocertificata se nota, ragioni per cui si ritiene che il trasferimento sia avvenuto “sotto DPF” (ad esempio richiamando elementi informativi ricevuti), descrizione della presunta violazione e del rimedio richiesto, oltre alla documentazione disponibile (corrispondenza, risposte ricevute, passaggi già tentati); viene anche chiarito che l’EDPB non è il destinatario del reclamo individuale e che il modulo non è pensato per gestire contestazioni relative ad accessi da parte di autorità di sicurezza nazionale, che seguono canali dedicati.