La Commissione Europea, il 10 luglio 2023, ha approvato la propria decisione di adeguatezza riguardo al Data Privacy Framework (DPF) UE-USA.
Questa decisione riconosce nuovamente gli Stati Uniti come capaci di fornire un adeguato livello di protezione ai dati personali dell’Unione Europea (UE). Di conseguenza, i dati personali possono ora essere trasferiti liberamente dall’UE alle società statunitensi che hanno ottenuto l’autocertificazione, senza bisogno di ulteriori garanzie.
Il Data Privacy Framework EU-USA ha un percorso storico significativo:
Luglio 2000: La Commissione europea adotta una decisione che conferma l’adeguatezza della protezione fornita dai principi dell’accordo “Safe Harbor”.
Ottobre 2015: L’accordo “Safe Harbour” viene invalidato a seguito della sentenza Schrems I.
Luglio 2016: La Commissione europea adotta una decisione sull’adeguatezza della protezione fornita dal Privacy Shield UE-USA.
Luglio 2020: La Corte di giustizia dell’Unione Europea (CGUE) dichiara il Privacy Shield UE-USA incompatibile con il GDPR e, quindi, non più valido.
Marzo 2022: La presidente von der Leyen e il presidente Biden raggiungono un accordo di principio su un nuovo Data Privacy Framework transatlantico.
Ottobre 2022: Il presidente Joe Biden firma l’ordine esecutivo 14086 su “Enhancing Safeguards for United States Signals Intelligence Activities.”
Dicembre 2022: La Commissione europea adotta la proposta di decisione di adeguatezza relativa al Data Privacy Framework.
Febbraio 2023: Il Comitato europeo per la protezione dei dati emette il suo parere sulla decisione di adeguatezza.
Maggio 2023: Il Parlamento europeo emette una risoluzione non vincolante.
Luglio 2023: Quasi tutti i rappresentanti degli Stati membri dell’UE approvano la proposta di decisione di adeguatezza.
Luglio 2023: La Commissione europea adotta ufficialmente la decisione di adeguatezza sul Data Privacy Framework UE-USA.
Il Data Privacy Framework UE-USA
Il DPF UE-USA segna un passo fondamentale per ripristinare la fiducia nei trasferimenti di dati personali transatlantici.
Con la sentenza Schrems II della Corte di giustizia dell’Unione Europea, il precedente Privacy Shield è stato invalidato a causa delle preoccupazioni riguardo all’accesso ai dati da parte delle agenzie di intelligence statunitensi.
Il nuovo quadro normativo del DPF UE-USA affronta queste preoccupazioni in vari modi:
Accesso ai dati necessario e proporzionato
Secondo il DPF UE-USA, l’accesso ai dati da parte delle agenzie di intelligence statunitensi è ora limitato a quanto sia considerato “necessario e proporzionato”. Questo assicura che il trasferimento dei dati sia conforme a rigorosi standard di protezione, bilanciando al contempo i legittimi interessi di sicurezza nazionale.
Meccanismo di ricorso a due livelli
Per incoraggiare pratiche responsabili e trasparenti e proteggere i diritti dei cittadini dell’UE, è stato creato un nuovo meccanismo di ricorso a due livelli.
Al primo livello, un funzionario per la protezione delle libertà civili (Civil Liberties Protection Officer, CLPO) proveniente dall’intelligence americana indaga in modo indipendente e obiettivo sui reclami presentati dai cittadini dell’UE (gratuitamente e nella loro lingua), e riporta i risultati direttamente alle autorità di protezione dei paesi di provenienza delle segnalazioni. Successivamente, questi reclami vengono trasmessi dal Comitato europeo per la protezione dei dati agli Stati Uniti.
Il secondo livello è rappresentato dal Tribunale per il riesame della protezione dei dati (Data Protection Review Court, DPRC), un organo indipendente e vincolante. Il DPRC esamina i ricorsi contro le decisioni del CLPO. È importante notare che i membri del DPRC hanno qualifiche specifiche e operano al di fuori dell’influenza o delle istruzioni del governo statunitense, garantendo imparzialità ed equità.
Diritti dei cittadini dell’UE
La decisione di adeguatezza garantisce diversi diritti ai cittadini dell’UE i cui dati sono stati trasferiti a società statunitensi autocertificate. Tali diritti comprendono la possibilità di accedere ai propri dati, richiedere rettifiche, cancellare dati errati o trattati illegalmente e utilizzare meccanismi indipendenti e gratuiti di risoluzione delle controversie e di arbitrato.
Applicabilità e garanzie estese
Le garanzie fornite dal governo statunitense nell’ambito dell’accordo UE-USA si estendono oltre i dati personali trasferiti tramite questo framework. Esse si applicano anche a casi che coinvolgono clausole contrattuali standard o norme aziendali vincolanti. Questa applicazione più ampia garantisce un adeguato livello di protezione dei dati personali per i cittadini dell’UE, indipendentemente dal meccanismo di trasferimento utilizzato.
Revisioni periodiche e monitoraggio continuo della conformità
Al fine di garantire la continua conformità, il Data Privacy Framework UE-USA sarà soggetto a revisioni periodiche. La prima revisione è prevista entro un anno dall’entrata in vigore del framework. La Commissione europea monitorerà costantemente gli sviluppi rilevanti negli Stati Uniti per assicurare il mantenimento delle misure di salvaguardia stabilite.
Quindi come bisogna comportarsi?
Al momento, non sono necessarie azioni immediate. È necessario attendere che le aziende statunitensi completino il processo di autocertificazione prima di procedere con il trasferimento dei dati personali. Con l’approvazione dell’EU-US Data Privacy Framework da parte della Commissione europea, si raggiunge un importante traguardo per la protezione dei dati personali nel contesto transatlantico. Con l’adozione del framework, i trasferimenti di dati personali dall’UE alle società statunitensi possono riprendere, a condizione che queste ultime partecipino al framework.
Vuoi saperne di più? Contattaci!