Con l’adozione del Data Privacy Framework, molti operatori hanno salutato il “ritorno” dell’adeguatezza nei trasferimenti di dati personali verso gli Stati Uniti. Una lettura affrettata del provvedimento, tuttavia, rischia di trasformare il DPF in un pericoloso falso senso di sicurezza.
Il Framework non è un lasciapassare automatico, né tantomeno un’esenzione dagli obblighi di governance, verifica e sicurezza imposti dal GDPR.
Al contrario, come ribadito dall’European Data Protection Board con la versione 2.0 delle FAQ adottata il 15 gennaio 2026, il ricorso al DPF richiede controlli puntuali sui fornitori statunitensi, particolare attenzione al trattamento dei dati HR e una piena integrazione con le regole su contratti, misure tecniche e gestione della supply chain digitale.
L’aggiornamento dell’EDPB non introduce nuove condizioni di trasferimento, ma chiarisce in modo netto cosa devono fare concretamente esportatori, DPO e responsabili della sicurezza prima e durante il trasferimento dei dati verso soggetti statunitensi auto-certificati.
Indice degli argomenti
Cosa verificare prima di trasferire dati verso gli Stati Uniti
Prima di trasferire dati personali verso un soggetto statunitense che dichiara di operare nell’ambito del Data Privacy Framework, è necessario verificare che la certificazione sia effettivamente attiva e che copra la categoria di dati oggetto del trasferimento, compresi eventuali dati relativi alle risorse umane o altre categorie particolari. La verifica deve basarsi sull’elenco dei partecipanti pubblicato dal Dipartimento del Commercio degli Stati Uniti e aggiornato periodicamente.
Se la certificazione non include specificamente i dati trasferiti, l’esportatore deve accertare che il destinatario si impegni, attraverso clausole contrattuali o in altra forma adeguata, a cooperare con le autorità di controllo competenti per quanto riguarda tali dati.
Nel caso in cui il destinatario agisca in qualità di processor, il titolare europeo deve concludere un accordo di trattamento conforme all’articolo 28 del GDPR che specifichi le modalità di esecuzione del trattamento, le misure di sicurezza da adottare e le responsabilità nei confronti di eventuali sub‑processor.
Le misure tecniche e organizzative devono essere adeguate al livello di rischio e suscettibili di verifica, inclusi audit periodici e controlli sugli accessi.
La certificazione di una capogruppo non si estende automaticamente alle sussidiarie; pertanto, l’esportatore deve accertare se la copertura della certificazione si applica anche alle entità coinvolte nel trattamento. L’informativa resa ai soggetti interessati deve contenere indicazioni sulla natura del trasferimento, sull’identità del destinatario e sui riferimenti normativi pertinenti.
Qualora il destinatario non sia o non sia più certificato, l’esportatore deve adottare altre garanzie adeguate ai sensi del capo V del GDPR, quali Standard Contractual Clauses o Binding Corporate Rules.
Le FAQ 2.0 dell’EDPB, pubblicate il 15 gennaio 2026, forniscono indicazioni operative precise. Definiscono cos’è il Data Privacy Framework, quali aziende possono certificarsi, l’ambito della certificazione, gli obblighi degli esportatori europei prima del trasferimento, le modalità di verifica della certificazione, i requisiti in caso di trasferimenti verso sussidiarie, e le regole quando il soggetto statunitense agisce come controller o processor, inclusi i sub‑processor e le possibilità di audit.
L’insieme di queste indicazioni consente di comprendere i vincoli e gli adempimenti necessari, senza modificare gli obblighi fondamentali del GDPR, e costituisce un riferimento operativo per chi gestisce trasferimenti internazionali di dati personali.
Aziende escluse dal DPF
Non tutte le imprese statunitensi possono affidarsi al Data Privacy Framework. In particolare, banche, compagnie di assicurazione, organizzazioni non profit e fornitori di servizi di telecomunicazione che non rientrano sotto la giurisdizione della Federal Trade Commission o del Dipartimento dei Trasporti non possono auto-certificarsi.
Questo significa che, anche in presenza di un apparente quadro di adeguatezza, gli esportatori europei devono verificare con attenzione il tipo di azienda destinataria e non dare per scontata la validità della certificazione.
La mancata verifica può esporre a rischi legali e operativi concreti, in quanto il DPF non sostituisce gli obblighi fondamentali previsti dal GDPR.
Certificazione delle sussidiarie statunitensi
Le filiali di aziende europee situate negli Stati Uniti possono auto-certificarsi al DPF solo se soggette alla giurisdizione della FTC o del Dipartimento dei Trasporti.
L’esportatore europeo deve verificare se la certificazione della capogruppo copre anche le filiali o se queste devono procedere autonomamente con la self-certification.
La guida ufficiale pubblicata dal Dipartimento del Commercio indica i requisiti di eleggibilità e illustra il processo di certificazione, che deve essere rinnovato annualmente. Anche in questo caso, i dati HR o altre categorie di dati particolari richiedono attenzione particolare e impegni contrattuali espliciti, così da garantire la piena conformità al GDPR.
Dati HR e obblighi di compliance
Il trasferimento di dati relativi alle risorse umane richiede attenzione particolare. Non tutte le certificazioni DPF coprono automaticamente questa tipologia di dati e l’esportatore europeo deve accertarsi che la controparte statunitense abbia incluso i dati HR nel perimetro della certificazione oppure abbia assunto impegni formali di cooperazione con le autorità di controllo.
Quando i dati HR vengono trattati da un processor, il data processing agreement deve dettagliare le modalità di trattamento, le misure di sicurezza applicate e la responsabilità verso eventuali sub‑processor.
Devono essere previsti audit periodici e controlli sugli accessi, e l’esportatore deve verificare che le filiali o le sussidiarie ricevano lo stesso livello di protezione dei dati previsto dalla certificazione della capogruppo.
I soggetti interessati devono ricevere informazioni chiare sull’identità del destinatario e sulle condizioni del trasferimento. In caso di destinatari non certificati o non più certificati, l’esportatore deve attivare altre garanzie conformi al capo V del GDPR, come Standard Contractual Clauses o Binding Corporate Rules.
Le FAQ 2.0 dell’EDPB chiariscono che questi controlli sono parte integrante della compliance e non possono essere sostituiti dalla sola esistenza della certificazione DPF.
Conclusione operativa
Il Data Privacy Framework 2.0 semplifica i trasferimenti di dati verso gli Stati Uniti, ma non elimina gli obblighi di verifica, governance e sicurezza previsti dal GDPR. Le FAQ 2.0 pubblicate dall’EDPB il 15 gennaio 2026 rappresentano un riferimento operativo essenziale, indicando i controlli da effettuare, le responsabilità verso controller e processor, e le modalità di gestione dei sub-processor.
Ogni trasferimento deve essere valutato attentamente, con particolare riguardo a dati HR o categorie sensibili, e deve essere accompagnato da contratti e misure tecniche adeguate.
Solo così l’uso del DPF può tradursi in una reale compliance, evitando rischi legali e operativi.
