vai al contenuto principale

EU-U.S. Data Privacy Framework

EU-U.S. Data Privacy Framework

Trasferimento dei dati personali tra l’Unione europea e gli Stati Uniti

A cura dell’Avv. Alessandra Maria Pepe

 

Lo scorso 10 luglio 2023, la Commissione europea ha adottato la decisione di adeguatezza sul c.d. EU-U.S. Data Privacy Framework per il trasferimento dei dati personali tra l’Unione europea e gli Stati Uniti. Viene così superato l’impasse e le incertezze giuridiche derivanti dall’invalidazione da parte della Corte di Giustizia UE, con la nota sentenza “Schrems II”, del Privacy Shield – ossia il precedente accordo che il quale venivano regolati i trasferimenti dei dati verso gli USA – preoccupata dalle attività di intercettazione massiva dei dati personali, eseguite in violazione del principio di proporzionalità e dalla necessità di assicurare una tutela giudiziaria reale e indipendente ai cittadini europei, analoga a quella prevista dal GDPR in materia di violazione dei dati personali.

Il Data Privacy Framework si basa su un sistema di autocertificazione in base al quale le aziende statunitensi potranno dimostrare la loro aderenza ad obblighi stringenti in materia di privacy. Il nuovo Framework sarà amministrato dalla Federal Trade Commission degli Stati Uniti che monitorerà e effettuerà periodicamente “controlli a campione” su organizzazioni selezionate in maniera casuale, nonché controlli ad hoc qualora vi fossero segnalazioni da parte di terzi o richieste degli interessati.

Con la decisione di adeguatezza, dopo circa tre anni dalla invalidazione del Privacy Shield, i dati personali potranno tornare a circolare liberamente tra l’Europa e le aziende statunitensi che decideranno di aderire al Data Privacy Framework, senza la necessità di ricorrere a ulteriori garanzie previste dal GDPR.

Il Data Privacy Framework introduce nuove garanzie e diritti in favore dei cittadini dell’UE i cui dati saranno trasferiti negli USA.  Le aziende statunitensi che intenderanno aderire dovranno garantire un livello di protezione dei dati personali sostanzialmente equivalente a quello offerto nell’UE, e adattarsi ai principi fondamentali in materia di privacy sanciti dal GDPR. In particolare, dovranno garantire il rispetto dei principi di accountability, , minimizzazione e conservazione dei dati non il principio di limitazione delle finalità, nonché ad assicurare agli interessati europei l’esercizio dei diritti, di accesso, opposizione, rettifica e cancellazione dei dati accordati loro dal GDPR.

Le modifiche più importanti introdotte dalla decisione di adeguatezza sono quelle volte a circoscrivere l’accesso ai dati personali europei da parte delle Agenzie di sicurezza americane che dovranno limitare la loro attività a quanto è necessario e proporzionale alla protezione della sicurezza nazionale.

L’altro aspetto innovativo e fondamentale della nuova decisione è l’adozione di un meccanismo rafforzato di tutela dei cittadini europei che potranno proporre reclami in merito alla raccolta e all’utilizzo dei loro dati da parte dell’intelligence tramite un meccanismo di ricorso a due livelli oltre che la possibilità di proporre i ricorsi direttamente alla propria Autorità nazionale per la protezione dei dati.

Nonostante La decisione di adeguatezza sia entrata in vigore sarà necessario attendere l’adesione formale delle aziende statunitensi a tale sistema per poter trasferire i dati negli USA sulla base del EU-US Data Privacy Framework.

 

 

Torna su
Cerca