Privacy dei dati: l’UE autorizza il trasferimento di dati personali verso gli USA.

Il 10 luglio 2023, la Commissione Europea ha emesso un importante comunicato, prendendo una decisione riguardante l’adeguatezza del Quadro sulla Privacy dei Dati (DPF) tra l’Unione Europea (UE) e gli Stati Uniti.

Mediante questa determinazione, gli Stati Uniti sono nuovamente riconosciuti come in grado di garantire un livello adeguato di tutela dei dati per l’Unione Europea (UE). Di conseguenza, i dati personali possono ora essere trasferiti liberamente dall’UE alle imprese statunitensi che abbiano ottenuto l’autocertificazione, senza necessità di ulteriori misure di sicurezza.

Il Data Privacy Framework UE-USA

Il Data Privacy Framework UE-USA rappresenta un passo cruciale nel ristabilire la fiducia nei trasferimenti di dati personali transatlantici.

Dopo la sentenza Schrems II emessa dalla Corte di Giustizia dell’Unione Europea, il precedente Privacy Shield era stato dichiarato non valido a causa di preoccupazioni riguardanti l’accesso ai dati da parte delle agenzie di intelligence statunitensi.

Il nuovo quadro normativo introdotto dal Data Privacy Framework UE-USA affronta queste preoccupazioni in vari modi:

Accesso limitato e proporzionato ai dati.

Secondo il Data Privacy Framework UE-USA, l’accesso alle informazioni da parte delle agenzie di intelligence statunitensi è ora limitato a ciò che è considerato “necessario e proporzionato”. Ciò garantisce che i trasferimenti di dati siano conformi a rigorosi standard di protezione, mantenendo un equilibrio tra la sicurezza nazionale e i legittimi interessi.

Meccanismo di ricorso a due livelli.

Al fine di promuovere pratiche responsabili e trasparenti, nonché proteggere i diritti dei cittadini dell’UE, è stato istituito un nuovo meccanismo di ricorso a due livelli:

1. Il primo livello del meccanismo di ricorso è rappresentato da un funzionario dedicato alla protezione delle libertà civili, noto come Civil Liberties Protection Officer (CLPO). Questo funzionario proviene dal contesto dell’intelligence americana e ha il compito di indagare in modo indipendente e obiettivo sulle segnalazioni presentate dai cittadini dell’UE. Le indagini vengono condotte gratuitamente e nella lingua dei reclamanti, e i risultati vengono successivamente comunicati direttamente alle autorità di protezione dei Paesi da cui provengono le segnalazioni. I reclami, a loro volta, vengono trasmessi agli Stati Uniti dal Comitato europeo per la protezione dei dati.
2. Il secondo livello del meccanismo di ricorso è costituito dal Data Protection Review Court (DPRC), un organo indipendente e vincolante. Il DPRC ha il compito di esaminare i ricorsi presentati contro le decisioni del CLPO. È rilevante sottolineare che i membri del DPRC sono selezionati in base a competenze specifiche e operano in totale autonomia, al di fuori di qualsiasi influenza o istruzione da parte del governo statunitense. Ciò garantisce un processo equo e imparziale.

Diritti dei cittadini UE

La decisione di adeguatezza conferisce ai cittadini dell’UE, i cui dati sono stati trasferiti a società statunitensi che hanno ottenuto l’autocertificazione, diversi diritti che includono:

1. Il diritto di accedere ai propri dati personali.
2. Il diritto di richiedere la rettifica dei dati personali inesatti o incompleti.
3. Il diritto di richiedere la cancellazione dei dati personali erronei o trattati illegalmente.
4. Il diritto di accedere a vie di ricorso attraverso un meccanismo indipendente e gratuito per la risoluzione delle controversie.
5. Il diritto di usufruire di un collegio arbitrale per risolvere eventuali dispute.

Garanzie e applicazione più efficaci

Le misure di sicurezza messe in atto dal governo statunitense nell’ambito dell’accordo UE-USA vanno oltre il solo trasferimento di dati personali attraverso il Data Privacy Framework. Tali misure si estendono anche ad altri casi, come l’utilizzo di clausole contrattuali standard o norme aziendali vincolanti.

Questa applicazione più ampia garantisce un livello adeguato di protezione dei dati personali per i cittadini dell’UE, indipendentemente dal meccanismo di trasferimento utilizzato.

Valutazioni periodiche e sorveglianza costante per garantire la conformità

Al fine di garantire la conformità continua, il Data Privacy Framework UE-USA sarà sottoposto a revisioni periodiche.

La prima revisione è programmata entro un anno dall’entrata in vigore del framework. La Commissione europea monitorerà attentamente gli sviluppi significativi negli Stati Uniti per assicurare il mantenimento delle misure di salvaguardia stabilite.

Come adeguarsi, quindi?

Attualmente, non è richiesta un’azione immediata. È necessario attendere il completamento del processo di autocertificazione da parte delle aziende statunitensi prima di poter procedere con il trasferimento dei dati personali.

L’approvazione del Data Privacy Framework UE-USA da parte della Commissione Europea rappresenta un importante traguardo per la protezione dei dati personali al di là degli oceani. Questo quadro normativo fornisce una base solida e unificata per i trasferimenti dei dati tra l’UE e le aziende statunitensi. Con l’adozione del framework, il trasferimento dei dati personali dall’UE alle aziende statunitensi può riprendere, a patto che queste ultime abbiano completato il processo di autocertificazione e si impegnino a rispettare le disposizioni stabilite nel quadro.

Questo nuovo framework promuove la trasparenza, la sicurezza e il rispetto dei diritti dei cittadini dell’UE nell’ambito dei trasferimenti dei dati personali. Le aziende statunitensi che desiderano ricevere tali dati dovranno dimostrare di essere conformi alle rigorose misure di protezione dei dati previste nel framework. Solo dopo aver completato il processo di autocertificazione e aver dimostrato di soddisfare tali requisiti, sarà possibile riprendere il trasferimento dei dati personali in modo sicuro e conforme alle norme di privacy.