Il 10 luglio 2023, la Commissione europea ha fatto un annuncio significativo adottando la propria decisione di adeguatezza sul Data Privacy Framework (DPF) UE-USA.
Con questa decisione, gli Stati Uniti vengono ancora una volta riconosciuti come in grado di fornire un livello adeguato di protezione all’Unione Europea (UE). Di conseguenza, i dati personali possono ora fluire liberamente dall’UE alle società statunitensi che si sono autocertificate senza la necessità di ulteriori garanzie.
Questo articolo approfondirà i dettagli della decisione ed evidenzierà le principali revisioni apportate al Privacy Shield precedentemente invalidato.
Il Data Privacy Framework UE-USA
Il DPF UE-USA rappresenta un passo fondamentale nel ripristino della fiducia nei confronti dei trasferimenti transatlantici di dati personali.
Con la sentenza Schrems II della Corte di giustizia dell’Unione Europea, infatti, il precedente Privacy Shield era stato invalidato a causa di dubbi sulla legittimità dell’accesso ai dati da parte delle agenzie di intelligence statunitensi.
Il nuovo quadro normativo introdotto dal DPF UE-USA affronta questi dubbi e preoccupazioni in diversi modi:
1. Accesso necessario e proporzionato ai dati
In base al DPF UE-USA, l’accesso ai dati da parte delle agenzie di intelligence statunitensi è ora limitato a ciò che è ritenuto “necessario e proporzionato“.
Questo garantisce che il trasferimento dei dati sia conforme a rigorosi standard di protezione, bilanciando al contempo i legittimi interessi di sicurezza nazionale.
2. Meccanismo di ricorso a due livelli
Al fine di incentivare pratiche responsabili e trasparenti e proteggere i diritti dei cittadini dell’UE, è stato istituito un nuovo meccanismo di ricorso a due livelli.
- Il primo livello è costituito da un funzionario per la protezione delle libertà civili (Civil Liberties Protection Officer, CLPO), proveniente dagli ambienti dell’intelligence americana, che indaga in modo indipendente e obiettivo sui reclami presentati dai cittadini dell’UE (gratuitamente e nella loro lingua) riportando i risultati direttamente alle autorità di protezione dei Paesi da cui la segnalazione è pervenuta. Questi reclami vengono poi trasmessi dal Comitato europeo per la protezione dei dati agli Stati Uniti.
- Il secondo livello comprende il Tribunale per il riesame della protezione dei dati (Data Protection Review Court, DPRC), un organo indipendente e vincolante. Il DPRC esamina i ricorsi fatti contro le decisioni prese dal CLPO. È importante notare che i membri del DPRC possiedono qualifiche specifiche e operano al di fuori dell’influenza o delle istruzioni del governo statunitense, garantendo imparzialità ed equità.
3. Diritti per i cittadini dell’UE
La decisione di adeguatezza garantisce diversi diritti ai cittadini dell’UE i cui dati sono stati trasferiti a società statunitensi autocertificate. Tali diritti garantiscono la possibilità di:
- accedere ai propri dati;
- richiedere rettifiche;
- cancellare i dati errati o trattati illegalmente; e
- accedere a vie di ricorso attraverso un meccanismo indipendente e gratuito di risoluzione delle controversie e un collegio arbitrale.
4. Applicabilità e garanzie più ampie
Le garanzie fornite dal governo statunitense nell’ambito dell’accordo UE-USA vanno oltre i dati personali trasferiti tramite questo framework. Si applicano infatti anche a questi altri casi:
- clausole contrattuali standard; o
- norme aziendali vincolanti.
Questa applicazione più ampia garantisce un adeguato livello di protezione dei dati personali per i cittadini dell’UE, indipendentemente dal meccanismo di trasferimento usato.
5. Revisioni periodiche e monitoraggio continuo della conformità
Per garantire la continua conformità, il Data Privacy Framework UE-USA sarà soggetto a revisioni periodiche.
La prima revisione è prevista entro un anno dall’entrata in vigore del framework. La Commissione europea monitorerà costantemente gli sviluppi rilevanti negli Stati Uniti per garantire il mantenimento delle misure di salvaguardia stabilite.
Cosa devi fare?
Al momento non sono necessarie azioni immediate. Occorre attendere che le aziende statunitensi completino il processo di autocertificazione prima di procedere col trasferimento dei dati personali.
L’approvazione dell’EU-US Data Privacy Framework da parte della Commissione europea rappresenta una pietra miliare per la protezione dei dati personali oltreoceano. Con la sua adozione, il trasferimento dei dati personali dall’UE alle aziende statunitensi potrà riprendere a condizione che quest’ultime partecipino al framework.