Ieri la Commissione europea ha deciso l’adeguatezza del quadro normativo UE-USA in materia di privacy dei dati (EU-U.S. Data Privacy Framework), secondo il quale gli Stati Uniti garantiscono un livello di protezione adeguato (e paragonabile a quello dell’Unione Europea) per i dati personali trasferiti dall’UE alle aziende statunitensi. Sulla base della nuova decisione di adeguatezza, i dati personali possono essere trasferiti in modo sicuro dall’UE alle aziende statunitensi che partecipano al framework, senza dover adottare ulteriori misure di protezione dei dati.

L’EU-U.S. Data Privacy Framework introduce nuove garanzie vincolanti per rispondere a tutte le preoccupazioni sollevate dalla Corte di Giustizia europea, tra cui la limitazione dell’accesso ai dati dell’UE da parte dei servizi di intelligence statunitensi allo stretto necessario e proporzionato e l’istituzione di un Tribunale per il riesame della protezione dei dati (DPRC), a cui potranno accedere i cittadini dell’UE.

Il nuovo quadro normativo introduce miglioramenti significativi rispetto al meccanismo esistente nell’ambito del Privacy Shield. Ad esempio, se il DPRC scopre che i dati sono stati raccolti in violazione delle nuove garanzie, potrà ordinare la cancellazione dei dati. Le nuove garanzie in materia di accesso ai dati da parte dei governi integreranno gli obblighi che le aziende statunitensi che importano dati dall’UE dovranno sottoscrivere.

Il Presidente della Commissione europea Ursula von der Leyen ha dichiarato: “Il nuovo quadro UE-USA sulla privacy dei dati garantirà flussi di dati sicuri per gli europei e porterà certezza giuridica alle aziende su entrambe le sponde dell’Atlantico. In seguito all’accordo di principio che ho raggiunto con il Presidente Biden lo scorso anno, gli Stati Uniti hanno messo in atto impegni senza precedenti per istituire il nuovo quadro. Oggi compiamo un passo importante per garantire ai cittadini la sicurezza dei loro dati, per approfondire i legami economici tra l’UE e gli USA e per riaffermare i nostri valori comuni. Questo dimostra che lavorando insieme possiamo affrontare le questioni più complesse”.

governi europei

Le aziende statunitensi potranno aderire al framework impegnandosi a rispettare una serie dettagliata di obblighi in materia di privacy, come ad esempio l’obbligo di cancellare i dati personali quando non sono più necessari per lo scopo per cui sono stati raccolti e di garantire la continuità della protezione quando i dati personali vengono condivisi con terze parti.

I cittadini dell’UE potranno usufruire di diverse vie di ricorso nel caso in cui i loro dati vengano trattati in modo scorretto dalle aziende statunitensi. Tra queste vi sono meccanismi indipendenti e gratuiti di risoluzione delle controversie e un collegio arbitrale. Inoltre, il framework statunitense prevede una serie di salvaguardie per quanto riguarda l’accesso ai dati trasferiti nell’ambito del quadro normativo da parte delle autorità pubbliche statunitensi, in particolare per scopi di applicazione della legge penale e di sicurezza nazionale. L’accesso ai dati è limitato a quanto necessario e proporzionato per proteggere la sicurezza nazionale.

I cittadini dell’UE avranno accesso a un meccanismo di ricorso indipendente e imparziale per quanto riguarda la raccolta e l’utilizzo dei loro dati da parte delle agenzie di intelligence statunitensi, che comprende il già citato tribunale di riesame della protezione dei dati (DPRC), che indagherà in modo indipendente e risolverà i reclami anche adottando misure correttive vincolanti. Le garanzie messe in atto dagli Stati Uniti faciliteranno anche i flussi di dati transatlantici più in generale, poiché si applicano anche quando i dati vengono trasferiti utilizzando altri strumenti, come le clausole contrattuali standard e le norme vincolanti d’impresa.

Il funzionamento del Quadro sulla privacy dei dati UE-USA sarà soggetto a revisioni periodiche, che saranno effettuate dalla Commissione Europea insieme ai rappresentanti delle autorità europee per la protezione dei dati e alle autorità statunitensi competenti. Il primo esame avrà luogo entro un anno dall’entrata in vigore della decisione di adeguatezza, al fine di verificare che tutti gli elementi rilevanti siano stati pienamente implementati nel quadro giuridico statunitense e funzionino efficacemente nella pratica. Bisogna poi precisare che anche se la commissione ha dato l’ok al nuovo framework, il Parlamento europeo e il Comitato europeo per la Protezione dei Dati (EDPB) non sono affatto convinti ed è quindi possibile che arrivino sentenze contrarie.