Update | Trasferimento di dati verso gli USA: finalmente, la Commissione UE adotta il EU-US Data Privacy Framework
In data 10 luglio 2023, la Commissione europea ha adottato la decisione di adeguatezza sul Data Privacy Framework per il trasferimento dei dati tra l’Unione europea e gli USA, superando così l’impasse derivante dall’invalidazione da parte della Corte di Giustizia UE, con la nota sentenza “Schrems II”, del Privacy Shield – ossia il precedente accordo che regolava i trasferimenti dei dati verso gli USA – a causa delle preoccupazioni sulla sorveglianza da parte dei servizi di intelligence statunitensi sui dati personali degli europei.
Hai una domanda? Scrivi alle autrici di questo articolo utilizzando il form in fondo alla pagina
Grazie alla decisione di adeguatezza, dopo tre anni dalla invalidazione della decisione di adeguatezza del Privacy Shield, i dati personali potranno tornare a circolare liberamente dall’UE alle aziende statunitensi che decideranno di aderire al Data Privacy Framework, senza la necessità di ricorrere a ulteriori garanzie previste dal GDPR per i trasferimenti dei dati extra-UE, come, ad esempio, le Standard Contractual Clauses (“SCC”) o le Binding Corporate Rules (“BCR”) con l’aggiunta di misura di sicurezza integrative.
Il Data Privacy Framework si basa su un sistema di autocertificazione in base al quale le aziende statunitensi potranno dimostrare la loro aderenza ad obblighi stringenti in materia di privacy. Il Framework sarà amministrato dalla Federal Trade Commission degli Stati Uniti, che elaborerà le domande di certificazione e monitorerà periodicamente il rispetto dei requisiti da parte delle aziende partecipanti.
Nuovi diritti per i cittadini UE
Il Data Privacy Framework istituisce nuove garanzie e nuovi diritti per i cittadini dell’UE i cui dati sono trasferiti negli USA. Le aziende che vi aderiranno, infatti, saranno tenute a garantire un livello di protezione dei dati personali sostanzialmente equivalente a quello offerto nell’UE, adattandosi ai principi fondamentali in materia di privacy sanciti dal GDPR. Le aziende statunitensi, in particolare, saranno tenute al rispetto del principio di accountability, del principio della limitazione delle finalità, della minimizzazione e conservazione dei dati, nonché ad assicurare agli interessati europei l’esercizio dei diritti accordati loro dal GDPR, quale il diritto di accesso, di opposizione, di rettifica e di cancellazione dei dati.
Per di più, i cittadini europei beneficeranno di più mezzi di ricorso in caso di presunto trattamento illecito dei loro dati da parte di imprese statunitensi, quali meccanismi indipendenti e gratuiti di risoluzione delle controversie e un collegio arbitrale.
Salvaguardie per l’accesso ai dati da parte dei servizi di intelligence
La decisione di adeguatezza interviene anche al fine di stabilire garanzie vincolanti nell’ambito dell’accesso ai dati dei cittadini europei da parte dei servizi di intelligence statunitensi, limitandone l’accesso a quanto necessario e proporzionato ai fini di contrasto penale e di sicurezza nazionale.
Inoltre, i cittadini europei potranno proporre reclami in merito alla raccolta e all’utilizzo dei loro dati da parte dell’intelligence e gli stessi saranno esaminati tramite un meccanismo di ricorso a due livelli: in prima istanza dal “Responsabile per la protezione delle libertà civili” della comunità dell’intelligence statunitense e, contro le decisioni di quest’ultimo, sarà possibile proporre ricorso dinnanzi al tribunale per il riesame della protezione dei dati (“DPRC”), di nuova costituzione e indipendente dal governo degli Stati Uniti.
Una delle novità più significative al riguardo è la possibilità per gli europei di poter proporre i ricorsi direttamente alla propria Autorità nazionale per la protezione dei dati, la quale si occuperà di fornire all’interessato tutte le informazioni rilevanti, tra cui l’esito della procedura.
La decisione di adeguatezza è entrata in vigore già con la sua adozione avvenuta lo scorso 10 luglio. Per poter trasferire i dati negli USA sulla base del EU-US Data Privacy Framework, sarà necessario attendere l’adesione formale delle aziende statunitensi a tale sistema, il quale, in ogni caso, non esime le società europee dalla necessità di regolamentare il flusso dei dati verso le società fornitrici di servizi aventi sede negli Stati Uniti, tramite appositi data protection agreement.