Clienti e community Sicurezza e Fiducia

Cosa prevede il nuovo ordine esecutivo transatlantico per i flussi transfrontalieri di dati

Poter trasferire i dati tra gli Stati Uniti e l'Unione europea in modo agevole è indispensabile per l'economia digitale e per consentire alle aziende multinazionali di gestire in modo efficace l'organico globale. Barbara Cosgrove, Chief Privacy Officer di Workday, condivide un aggiornamento sul nuovo quadro normativo per la protezione dei dati personali UE-USA (UE-US Data Privacy Framework) per i clienti di Workday e per il futuro.

Barbara Cosgrove

Luglio 2023

Workday accoglie con favore l'approvazione del nuovo EU-US Data Privacy Framework (DPF), che consente alle aziende di trasferire legalmente dati personali europei negli Stati Uniti con maggiore tranquillità.  Workday sostiene con convinzione gli accordi tra governi che agevolano i flussi di dati transfrontalieri e ringrazia gli Stati Uniti e la Commissione europea per il loro impegno negli anni volto a garantire il trasferimento continuo e sicuro di dati attraverso l'Atlantico. Ora che gli impegni del governo degli Stati Uniti nell'ambito del DPF sono soddisfatti e la decisione di adeguatezza della Commissione europea è finalizzata, i politici su entrambe le sponde dell'Atlantico hanno concordato nuove garanzie per rispondere alle preoccupazioni della Corte di giustizia dell'Unione europea (CGUE) in merito alla sentenza "Schrems II" del luglio 2020.  

Per aiutare i nostri clienti a capire cosa significa per loro, vorrei rispondere ad alcune domande frequenti sul DPF appena approvato.

Cos'è successo da quando è stato emanato l'ordine esecutivo?

Ricordiamo che le questioni principali sollevate nella sentenza Schrems II della CGUE riguardavano le attività di accesso delle autorità statunitensi. Nell'ultimo anno, il governo degli Stati Uniti ha apportato modifiche significative alle modalità di accesso ai dati personali dei cittadini UE da parte dell'intelligence statunitense e ha adottato misure per garantire alle persone non statunitensi il diritto di ricorso se ritengono che l'accesso ai loro dati sia avvenuto in modo inappropriato. Il Dipartimento di Giustizia e l'Ufficio del Direttore dell'Intelligence Nazionale hanno tenuto fede a questi impegni come delineato nell'ordine esecutivo del Presidente Biden sui trasferimenti di dati transatlantici. Nello specifico, le agenzie di intelligence statunitensi hanno adottato le nuove politiche e procedure, il Procuratore Generale ha formalmente designato lo Spazio Economico Europeo come "stato qualificato" che può accedere al meccanismo di ricorso del DPF ed è stato istituito un nuovo tribunale del riesame in materia di protezione dei dati (Data Protection Review Court). Vedi sotto per maggiori informazioni sul punto di vista di Workday su questo ordine esecutivo. 

Che impatto ha il DPF sui clienti Workday?

La decisione di adeguatezza offre ai nostri clienti una maggiore certezza che i dati personali europei possano essere trasferiti legalmente negli Stati Uniti. Dal 2020, Workday supporta attivamente i suoi clienti utilizzando altri meccanismi di trasferimento dei dati, come le clausole contrattuali tipo (CCT) e le norme vincolanti di impresa (BCR, Binding Corporate Rules) per i responsabili del trattamento. Durante questo periodo, abbiamo anche fornito una scheda tecnica completa per la valutazione dell'impatto del trasferimento dei dati allo scopo di aiutare i clienti a valutare il rischio di qualsiasi trasferimento. Continueremo a offrire questi meccanismi di trasferimento dei dati legali e stiamo aggiornando la nostra scheda tecnica per la valutazione dell'impatto del trasferimento dei dati affinché rispecchi i recenti cambiamenti nel sistema legale statunitense. Anche per le aziende che non si affidano al nuovo DPF come meccanismo di trasferimento dei dati, le nuove garanzie del governo statunitense si applicano a tutti i trasferimenti di dati personali effettuati ai sensi del Regolamento generale sulla protezione dei dati (GDPR) verso aziende negli Stati Uniti, comprese quelle che utilizzano clausole contrattuali tipo e le norme vincolanti di impresa.

Inoltre, abbiamo mantenuto la nostra certificazione per il Privacy Shield Framework, che ci consentirà di adottare rapidamente il DPF. Ci impegniamo, infine, a restare trasparenti circa le richieste di accesso ai dati da parte delle forze dell'ordine e a pubblicare aggiornamenti regolari nel nostro report sulla trasparenza.

Ci sarà una sentenza Schrems III?

Come sì è visto con il Safe Harbor Framework e il Privacy Shield Framework, è probabile che il DPF venga impugnato nei tribunali europei. Considerati i cambiamenti senza precedenti implementati dal governo degli Stati Uniti per rafforzare le garanzie in materia di accesso da parte delle autorità ai dati personali dei cittadini europei e per offrire diritti di ricorso ai soggetti non statunitensi, Workday ritiene che il DPF riesca a raggiungere l'obiettivo condiviso di entrambi i governi di essere una base giuridica duratura e affidabile per i flussi di dati transatlantici.  

Ottobre 2022

In Workday accogliamo con entusiasmo il tanto atteso ordine esecutivo sui trasferimenti dei dati transatlantici, emanato dal presidente Joe Biden il 7 ottobre. Obiettivo dell'ordine esecutivo è attuare l'accordo tra l'Unione Europea e gli Stati Uniti per affrontare le problematiche di accesso da parte delle autorità statunitensi emerse nel caso Schrems II, che hanno portato all'invalidazione del meccanismo di trasferimento dei dati chiamato Privacy Shield. Un trasferimento agevole dei dati tra gli Stati Uniti e l'Unione Europea è indispensabile per l'economia digitale e per consentire alle aziende multinazionali di gestire in modo efficace l'organico globale.

Il nuovo ordine esecutivo rappresenta un ottimo passo avanti per continuare la libera circolazione dei dati personali, compresi i dati sui dipendenti, dall'Unione Europea verso gli Stati Uniti. Tuttavia, le informazioni da assimilare sono numerose, quindi vorrei fare chiarezza su cosa significa esattamente per i nostri clienti e su quali effetti avrà in futuro. 

Perché l'ordine esecutivo è importante?

Diversi mesi fa, il presidente Biden e la presidente della Commissione europea Ursula von der Leyen hanno annunciato un accordo politico noto come EU-US Data Privacy Framework (DPF), che ha lo scopo di supportare la libera circolazione dei dati personali dell'UE verso gli Stati Uniti. L'ordine esecutivo emesso di recente formalizza gli impegni degli Stati Uniti rispetto a tale accordo, istituendo per i cittadini dell'UE una procedura per presentare reclami formali nel caso ritengano che i loro dati personali siano stati raccolti illegalmente dalle autorità degli Stati Uniti per scopi di sicurezza nazionale. Implementa inoltre misure di salvaguardia per garantire che le attività di intelligence statunitensi siano necessarie e proporzionate per il raggiungimento degli specifici obiettivi di sicurezza.

Poter trasferire i dati tra gli Stati Uniti e l'Unione Europea in modo agevole è indispensabile per l'economia digitale e per consentire alle aziende multinazionali di gestire in modo efficace l'organico globale.

L'ordine esecutivo apre le porte alla Commissione europea per l'avvio di un processo di adeguatezza per le aziende che partecipano al DPF UE-USA. Oltre all'emissione dell'ordine esecutivo, servono diversi altri passaggi prima che esista nuovamente un quadro normativo di adeguatezza tra gli Stati Uniti e l'Unione Europea. Questi passaggi includono un pronunciamento formale di adeguatezza da parte della Commissione Europea, nonché una verifica della determinazione e dell'emissione di un parere da parte del Comitato europeo per la protezione dei dati. Infine, gli stati membri europei devono approvare il quadro normativo, che dovrà poi essere adottato formalmente. La Commissione europea ha già espresso sostegno per il nuovo DPF UE-USA, affermando che contiene miglioramenti significativi rispetto al meccanismo esistente nell'ambito del Privacy Shield.

Cosa significa l'ordine esecutivo per i clienti Workday? 

Onorando il valore fondamentale di offrire un servizio clienti eccellente, Workday prende molto sul serio la privacy e la sicurezza, oltre ad adottare misure di salvaguardia adeguate per proteggere i dati dei clienti. In seguito alla sentenza Schrems II, abbiamo fornito ai nostri clienti un white paper dettagliato sulla valutazione dell'impatto del trasferimento dei dati (TIA, Transfer Impact Assessment) per aiutarli a calcolare i rischi associati al trasferimento dei dati personali dell'UE negli Stati Uniti nel contesto di un sistema aziendale di gestione del capitale umano e di gestione finanziaria. Sulla base di molti fattori, tra cui il tipo di dati, lo storico delle richieste delle autorità a Workday e ad altre società simili, nonché le dichiarazioni del governo, abbiamo concluso che i rischi erano bassi.

Workday aggiornerà immediatamente le schede tecniche esistenti per la valutazione dell'impatto del trasferimento dei dati e continuerà a impiegarle a supporto dei trasferimenti utilizzando meccanismi legali già adottati da Workday, come le norme vincolanti di impresa (BCR, Binding Corporate Rules) e le clausole contrattuali tipo (CCT). Inoltre, Workday ha mantenuto la certificazione per il Privacy Shield Framework. Dato che le obiezioni legali al Privacy Shield non si basavano sulle pratiche commerciali relative ai dati ma riguardavano questioni di sicurezza nazionale, ci aspettiamo che il processo di utilizzo del nuovo DPF UE-USA, in qualità di meccanismo legale di trasferimento dei dati, procederà senza intoppi una volta finalizzata la nuova decisione di adeguatezza. 

Che cosa riserva il futuro?

Considerando che il flusso di dati che circolano tra gli Stati Uniti e la UE supera per volume quello di qualsiasi altro al mondo, il trasferimento agevole dei dati tra gli Stati Uniti e l'UE è fondamentale per il commercio transatlantico e gli investimenti nell'economia digitale. È importante che i legislatori, in collaborazione con le imprese e gli altri stakeholder, collaborino alla formulazione e all'implementazione di quadri normativi destinati a durare, che rendano possibili i trasferimenti dei dati nella tutela della privacy. Nei giorni e nei mesi successivi alla sentenza Schrems II, Workday si è impegnata a fondo sia con l'amministrazione Biden che con le controparti della Commissione europea contribuendo a tracciare un percorso verso un quadro normativo futuro per il trasferimento dei dati. Sosteniamo con forza l'ordine esecutivo del presidente Biden per l'attuazione degli impegni previsti dall'EU-U.S. Data Privacy Framework e siamo ansiosi di lavorare con i partner dell'UE a supporto di una nuova decisione di adeguatezza. 

Non perderti la scheda tecnica aggiornata in arrivo per la valutazione dell'impatto del trasferimento dei dati, che pubblicheremo a breve nella Workday Community

Questo blog è stato pubblicato originariamente nell'ottobre 2022.

La posizione di Workday sui trasferimenti internazionali di dati: un aggiornamento e le prospettive per il futuro

Barbara Cosgrove illustra la posizione di Workday in merito alla creazione del Global Cross-Border Privacy Rules Forum, il significato che ha per il settore in generale e le prospettive future in materia di trasferimento internazionale di dati.

Leggi il blog

Pubblicato in:  Clienti e community, Sicurezza e Fiducia
Clienti Governance, rischio e conformità Management team Workday

Leggi di più