Vi segnaliamo che il 10 luglio 2023 la Commissione Europea ha adottato la decisione di adeguatezza sul Data Privacy Framework per il trasferimento dei dati personali dall'UE alle società statunitensi che partecipano al Data Privacy Framework EU-US, riconoscendo formalmente agli USA un livello di protezione adeguato rispetto a quello dell'UE.
La Presidente Ursula von der Leyen ha dichiarato: "Il nuovo quadro UE-USA per la protezione dei dati personali garantirà flussi di dati sicuri per i cittadini europei e apporterà certezza giuridica alle imprese su entrambe le sponde dell'Atlantico. A seguito dell'accordo di principio che ho raggiunto lo scorso anno con il Presidente Biden, gli Stati Uniti hanno attuato impegni senza precedenti per istituire il nuovo quadro. Oggi compiamo un passo importante per rassicurare i cittadini sul fatto che i loro dati sono al sicuro, per approfondire i legami economici tra l'UE e gli Stati Uniti e nel contempo per riaffermare i nostri valori condivisi. Ciò dimostra che, lavorando insieme, possiamo affrontare le questioni più complesse".
La Commissione UE ha, quindi, costituito una nuova base giuridica per il trasferimento dei dati personali verso gli Stati Uniti, che ora può essere effettuato liberamente, senza la necessità di ulteriori condizioni o autorizzazioni.
LA DECISIONE DI ADEGUATEZZA E IL PARERE DEL PARLAMENTO EUROPEO
La decisione di adeguatezza è uno degli strumenti previsti dall’art. 45 GDPR, tramite il quale è permesso il trasferimento di dati personali dall’UE verso un Paese terzo. Come già riportato alla Vostra attenzione con Alert n. 30/2023, il Parlamento europeo, con risoluzione dell’11 maggio 2023, aveva espresso parere contrario al progetto di decisione di adeguatezza della Commissione europea per il trasferimento dei dati dall’UE verso gli USA.
LE NUOVE GARANZIE DEL DATA PRIVACY FRAMEWORK
Qui Vi segnaliamo le principali garanzie previste nel “EU-USData Privacy Framework”:
- limitazione del potere di accesso da parte dei servizi di intelligence statunitensi: quest’ultimi potranno accedere ai dati personali dei cittadini europei solamente se ritenuto indispensabile per assolvere una finalità di sicurezza nazionale o per l’applicazione della legge penale e a fronte di una valutazione basata sul criterio di proporzionalità;
- istituzione del Tribunale per il riesame della protezione dei dati (DPRC), a cui possono ricorrere coloro che godono delle tutele della normativa europea, qualora ritenessero di aver subito una violazione dei loro dati personali. Secondo il Data Privacy Framework, il DPRC potrà imporre alle società statunitensi la cancellazione dei dati personali del ricorrente, nel caso accertasse la violazione delle garanzie;
- istituzione di un nuovo meccanismo di ricorso indipendente ed imparziale;
- con riguardo agli obblighi per le aziende statunitensi, il Data Privacy Framework ha previsto:
l’obbligo di cancellazione dei dati personali quando non sono più necessari per il perseguimento degli scopi originari;
l’obbligo di garantire la continuità della protezione dei dati personali in caso di condivisione con soggetti terzi.
IL RIESAME
È stato fissato, entro un anno dall’entrata in vigore della decisione di adeguatezza, un primo riesame per verificare la corretta attuazione delle nuove garanzie all’interno del quadro giuridico statunitense.
Il funzionamento del quadro UE-USA per la protezione dei dati personali sarà oggetto di riesami periodici effettuati da parte della Commissione europea insieme ai rappresentanti delle autorità europee di protezione dei dati e delle autorità statunitensi competenti.
IL FUTURO DEL TRASFERIMENTO DI DATI PERSONALI NEGLI USA
La notizia del recente intervento della Commissione Europea ha provocato reazioni contrastanti: da un lato, è indubbio che la decisione di adeguatezza abbia apportato un significativo vantaggio per tutte quelle aziende europee che trasferiscono dati personali negli USA; dall’altro lato, però, non è da sottovalutare la possibilità che la validità di tale decisione di adeguatezza possa essere soltanto momentanea e che la stessa possa divenire oggetto di ricorso dinnanzi alla Corte di Giustizia dell’UE.
Infatti, la Corte di Giustizia dell’UE con le sentenze Schrems I e II, già in passato ha invalidato gli accordi tra UE e USA riguardo il trasferimento dei dati personali verso gli USA.
Per queste ragioni, Vi consigliamo di agire con prudenza, soprattutto nella scelta dei responsabili del trattamento e, ove possibile, preferire operatori situati in UE.
***
Ricordandovi che i professionisti del nostro studio offrono assistenza in materia di data protection, rimaniamo a disposizione per qualsiasi chiarimento e approfondimento.
