Dall'11.01.2017  l'IFPDT ha inserito gli Stati Uniti nell'elenco degli Stati dove sono indicati i Paesi la cui legislazione garantisce una "protezione  adeguata" ai sensi dell'art. 6 capoverso 1 LPD. Dall'entrata in funzione  del Privacy Shield (scudo Svizzera-Usa: PS CH) sono stati fatti due  riesami congiunti tra la delegazione  svizzera (SECO, IFPDT) e le agenzie del governo americano il 20.10.2018 e il  14.09.2019, a seguito dei riesami congiunti UE-USA, ai quali la delegazione  svizzera ha partecipato come osservatore. Da allora, nonostante le critiche  espresse dall'UE e dalla Svizzera nell'ambito del riesame dello scudo per la  privacy, gli Stati Uniti non hanno apportato alcuna modifica alla normativa.  Nel frattempo il 16.07.2020 la Corte di Giustizia Europea ha annullato la  decisione di adeguatezza 2016/1250 della Commissione UE relativa alle società  statunitensi certificate in base al Privacy Shield. L'IFPDT osserva sul  punto, che sebbene la Svizzera non sia membro UE, e che quindi la sentenza  citata non sia vincolante per la stessa, il diritto UE e la giurisprudenza  CGUE, sono applicati anche nei confronti di imprese svizzere, che nel caso  specifico trasferiscono dati personali di cittadini residenti nell'UE e nello  SEE. L'IFPDT ha così riesaminato l'attuale posizione USA e ha rilevato  che:
   1. per mancanza di trasparenza, gli interessati non hanno la possibilità di  far valere i propri diritti negli Stati Uniti in caso di accesso ai dati da  parte delle autorità statunitensi;
   2. non vi sono sufficienti informazioni che garantiscono l'indipendenza e  l'assenza del conflitto di interessi, tra il mediatore (che negli Stati Uniti  dovrebbe garantire agli interessati un rimedio giuridico indiretto) e i  servizi segreti statunitensi.
In attesa di una diversa giurisprudenza dei Tribunali Svizzeri, l'IFPDT  valuta che gli Stati Uniti non soddisfano le esigenze di una protezione  adeguata ai sensi dell'art. 6 capoverso 1 LPD. Per tale motivo le garanzie  contrattuali quali le SCC dell'UE o le cosiddette "binding corporate  rules" (BCR), non impediscono l'accesso ai dati personali da parte delle  autorità estere; pertanto, secondo quanto suggerito dall'IFPDT, qualora la  trasmissione dei dati abbia come base giuridica proprio le SCC o le BCR, è  necessario che l'esportatore effettui una valutazione dei rischi esistenti  sotto il profilo della protezione dei dati personali dello Stato terzo non  rientrante nell'elenco sopra citato; in particolare, rilevando se vi possano  essere accessi particolari da parte delle autorità locali. In caso  affermativo l'esportatore svizzero, dovrà valutare misure tecniche che  impediscano effettivamente che le autorità del Paese destinatario abbiano accesso ai dati personali trasmessi.