Il 10 luglio 2023 la Commissione europea ha adottato la decisione di adeguatezza su sui trasferimenti di dati nell’ambito del Data Privacy Framework UE-USA. La decisione giunge alla conclusione che gli Stati Uniti garantiscono un livello adeguato di protezione – rispetto a quello dell’Unione europea – per i dati personali trasferiti dall’UE a società statunitensi che partecipano al nuovo quadro sulla privacy dei dati UE-USA.
Sulla base della nuova decisione di adeguatezza i dati personali possono circolare liberamente e in modo sicuro dallo Spazio economico europeo (SEE), che comprende i 27 Stati membri dell’UE, nonché Norvegia, Islanda e Liechtenstein, verso le imprese statunitensi che partecipano al framework, senza essere soggetti a ulteriori condizioni o autorizzazioni. In altre parole, i trasferimenti verso il paese terzo possono essere gestiti allo stesso modo delle trasmissioni di dati all’interno dell’UE.
Il Data Privacy Framework UE-USA introduce nuove garanzie vincolanti per far fronte a tutte le preoccupazioni espresse dalla Corte di giustizia dell’Unione europea, tra cui la limitazione dell’accesso ai dati dell’UE da parte dei servizi di intelligence statunitensi a quanto necessario e proporzionato e l’istituzione di un tribunale del riesame in materia di protezione dei dati (Data Protection Review Court, DPRC), accessibile ai cittadini dell’UE.
Il nuovo framework introduce miglioramenti significativi rispetto al meccanismo esistente nell’ambito dello scudo per la privacy. Ad esempio, se il DPRC ritiene che i dati siano stati raccolti in violazione delle nuove garanzie potrà ordinarne la cancellazione. Le nuove garanzie in materia di accesso ai dati da parte delle pubbliche amministrazioni integreranno gli obblighi che le imprese statunitensi che importano dati dall’UE dovranno sottoscrivere.
Il quadro fornisce alle persone dell’UE i cui dati sarebbero trasferiti alle società partecipanti negli Stati Uniti con diversi nuovi diritti (ad esempio per ottenere l’accesso ai propri dati o ottenere la correzione o la cancellazione di dati errati o trattati illegalmente). Inoltre, offre diverse vie di ricorso nel caso in cui i loro dati vengano trattati in modo errato, compresi meccanismi gratuiti di risoluzione delle controversie indipendenti e un collegio arbitrale.
Le imprese statunitensi potranno aderire al Data Privacy Framework UE-USA impegnandosi a rispettare un insieme dettagliato di obblighi in materia di privacy, ad esempio l’obbligo di cancellare i dati personali quando questi non sono più necessari per lo scopo per il quale sono stati raccolti e di garantire la continuità della protezione quando i dati personali sono condivisi con terzi.
I cittadini dell’UE beneficeranno di varie vie di ricorso in caso di trattamento non corretto dei loro dati da parte di imprese statunitensi, quali meccanismi indipendenti gratuiti di composizione delle controversie e un collegio arbitrale.
Inoltre, il quadro giuridico statunitense prevede una serie di garanzie per quanto riguarda l’accesso ai dati trasferiti nell’ambito del quadro da parte delle autorità pubbliche statunitensi, in particolare a fini di contrasto penale e di sicurezza nazionale: l’accesso ai dati è limitato a quanto necessario e proporzionato per proteggere la sicurezza nazionale.
I cittadini dell’UE avranno accesso a un meccanismo di ricorso indipendente e imparziale per quanto riguarda la raccolta e l’uso dei loro dati da parte delle agenzie di intelligence statunitensi. Tale meccanismo comprende un tribunale del riesame in materia di protezione dei dati (DPRC), di nuova creazione, che esaminerà e risolverà i reclami in modo indipendente, anche adottando misure correttive vincolanti.
Le garanzie predisposte dagli Stati Uniti agevoleranno inoltre i flussi di dati transatlantici in generale, poiché si applicano anche quando i dati sono trasferiti attraverso altri strumenti, quali le clausole contrattuali tipo e le norme vincolanti d’impresa.
Il Framework sarà amministrato dal Dipartimento del Commercio degli Stati Uniti, che elaborerà le domande di certificazione e controllerà se le aziende partecipanti continuano a soddisfare i requisiti di certificazione. La conformità da parte delle società statunitensi ai loro obblighi ai sensi del quadro sulla privacy dei dati UE-USA sarà applicata dalla Commissione federale per il commercio degli Stati Uniti.
Il funzionamento del quadro UE-USA per la protezione dei dati personali sarà oggetto di riesami periodici effettuati dalla Commissione europea in collaborazione con i rappresentanti delle autorità europee di protezione dei dati e delle autorità statunitensi competenti.
Il primo riesame avrà luogo entro un anno dall’entrata in vigore della decisione di adeguatezza e verificherà che tutti gli elementi pertinenti siano stati pienamente attuati nel quadro giuridico statunitense e funzionino efficacemente nella pratica.
La Presidente Ursula von der Leyen ha dichiarato: “Il nuovo Data Privacy Framework UE-USA garantirà flussi di dati sicuri per i cittadini europei e apporterà certezza giuridica alle imprese su entrambe le sponde dell’Atlantico. A seguito dell’accordo di principio che ho raggiunto lo scorso anno con il Presidente Biden, gli Stati Uniti hanno attuato impegni senza precedenti per istituire il nuovo quadro. Oggi compiamo un passo importante per rassicurare i cittadini sul fatto che i loro dati sono al sicuro, per approfondire i legami economici tra l’UE e gli Stati Uniti e nel contempo per riaffermare i nostri valori condivisi. Ciò dimostra che, lavorando insieme, possiamo affrontare le questioni più complesse.”
https://ec.europa.eu/commission/presscorner/detail/it/ip_23_3721
https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752