Il 10 luglio 2023, la Commissione europea ha preso una significativa decisione approvando il Data Privacy Framework (DPF).
Questa decisione riconosce nuovamente agli Stati Uniti la capacità di offrire un adeguato livello di protezione dei dati personali per l’Unione Europea.
Di conseguenza, i dati personali possono ora fluire liberamente dall’UE alle aziende statunitensi che si sono autocertificate, senza richiedere ulteriori garanzie.
Il Data Privacy Framework UE-USA in dettaglio
Il DPF UE-USA rappresenta un passo fondamentale per ristabilire la fiducia nei trasferimenti transatlantici di dati personali. Dopo la sentenza Schrems II della Corte di giustizia dell’Unione Europea, il precedente Privacy Shield era stato invalidato a causa di preoccupazioni sulla legittimità dell’accesso ai dati da parte delle agenzie di intelligence statunitensi.
Il nuovo quadro normativo introdotto dal DPF UE-USA affronta queste preoccupazioni in diversi modi:
1. Accesso limitato e proporzionato ai dati
Secondo il DPF UE-USA, l’accesso ai dati da parte delle agenzie di intelligence statunitensi è ora limitato a ciò che è considerato “necessario e proporzionato“. Questo garantisce che i trasferimenti di dati siano conformi a rigorosi standard di protezione, bilanciando nel contempo i legittimi interessi di sicurezza nazionale.
2. Meccanismo di ricorso a due livelli
Al fine di promuovere pratiche responsabili e trasparenti e proteggere i diritti dei cittadini dell’UE, è stato istituito un nuovo meccanismo di ricorso a due livelli.
Il primo livello prevede un funzionario per la protezione delle libertà civili (Civil Liberties Protection Officer, CLPO) proveniente dagli ambienti dell’intelligence americana. Questo funzionario indaga in modo indipendente e obiettivo sulle denunce presentate dai cittadini dell’UE (gratuitamente e nella loro lingua), riportando direttamente i risultati alle autorità di protezione dei paesi di provenienza delle segnalazioni. Le denunce vengono poi trasmesse al Comitato europeo per la protezione dei dati e successivamente agli Stati Uniti.
Il secondo livello comprende il Tribunale per il riesame della protezione dei dati (Data Protection Review Court, DPRC), un organo indipendente e vincolante. Il DPRC esamina i ricorsi presentati contro le decisioni prese dal CLPO. È importante notare che i membri del DPRC possiedono qualifiche specifiche e operano al di fuori dell’influenza o delle istruzioni del governo statunitense, garantendo imparzialità ed equità.
3. Diritti dei cittadini dell’Unione Europea
La decisione di adeguatezza garantisce diversi diritti ai cittadini dell’UE i cui dati sono stati trasferiti alle aziende statunitensi autocertificate. Questi diritti includono la possibilità di accedere ai propri dati, richiedere rettifiche, cancellare dati errati o trattati illegalmente, nonché l’accesso a vie di ricorso attraverso un meccanismo indipendente e gratuito di risoluzione delle controversie e un collegio arbitrale.
4. Applicabilità e garanzie estese
Le garanzie fornite dal governo statunitense nell’ambito dell’accordo UE-USA si applicano non solo ai dati personali trasferiti tramite questo framework, ma si estendono anche ad altri casi, come le clausole contrattuali standard o le norme aziendali vincolanti. Questa estensione garantisce un adeguato livello di protezione dei dati personali per i cittadini dell’UE, indipendentemente dal meccanismo di trasferimento utilizzato.
5. Revisioni periodiche e monitoraggio continuo della conformità
Per garantire una conformità continua, il Data Privacy Framework UE-USA sarà soggetto a revisioni periodiche. La Commissione europea monitorerà costantemente gli sviluppi rilevanti negli Stati Uniti per garantire il mantenimento delle misure di salvaguardia stabilite.
…E adesso?
L’approvazione del EU-US Data Privacy Framework rappresenta un importante traguardo per la protezione dei dati personali oltre oceano.
Con l’adozione di questo framework, i trasferimenti di dati personali dall’UE alle aziende statunitensi possono riprendere a condizione che tali aziende partecipino al framework stesso.
Non sono necessarie azioni immediate in questo momento, ma occorre attendere che le aziende statunitensi completino il processo di autocertificazione prima di procedere con i trasferimenti di dati personali.