EU-US DATA PRIVACY FRAMEWORK – La Decisione di adeguatezza della Commissione Europea
Ieri, 10 luglio 2023, la Commissione Europea ha adottato la decisione di adeguatezza (EU-U.S. Data Privacy Framework) per i trasferimenti dei dati EU-USA affermando, quindi, che quest’ultimi garantiscono un adeguato livello di protezione – paragonabile a quello dell’Unione Europea – per i dati personali ivi trasferiti.
La Decisione arriva dopo tre anni di estenuante attesa da parte di aziende e pubbliche amministrazioni che si sono trovate – da luglio 2020, a seguito dell’invalidamento del Privacy Shield a causa della sentenza Schrems II – in un limbo normativo e operativo che le ha costrette a ripensare i processi di trattamento dei dati e, in alcuni casi, a investire in nuove risorse per recuperare quella liceità di trattamento sancita dai principi del GDPR.
La volontà di arrivare ad un nuovo accordo in grado di garantire un trasferimento sicuro dei dati verso gli USA era emersa già nell’ottobre 2022 – con la firma dell’Executive Order da parte del Presidente Biden – e nel marzo 2022, con la Dichiarazione congiunta della Commissione europea e degli Stati Uniti.
Il Data Privacy Framework introduce nuove garanzie vincolanti per affrontare le preoccupazioni sollevate dalla Corte di Giustizia Europea, limitando l’accesso ai dati dell’UE da parte dei servizi di intelligence statunitensi a quanto necessario e proporzionato e istituendo inoltre il Data Protection Review Court (DPRC).
Ad oggi, le imprese statunitensi possono certificare la loro applicazione del Framework mediante un’autodichiarazione con la quale si impegnano a rispettare una serie dettagliata di obblighi in materia di protezione dati personali. La verifica riguardo il mantenimento degli obblighi da parte delle imprese è demandata al US Department of Commerce.
Il funzionamento del Data Privacy Framework sarà soggetto a revisioni periodiche da parte della Commissione Europea, dei rappresentanti delle Autorità Europee per la protezione dei dati e delle Autorità statunitensi competenti. Il primo riesame avrà luogo entro un anno dall’entrata in vigore della decisione di adeguatezza, al fine di verificare che tutti gli elementi previsti dall’Accordo siano stati pienamente e correttamente implementati nel quadro giuridico statunitense.
Nonostante la decisione di adeguatezza rappresenti un superamento dell’impasse normativa, numerose sono le critiche sollevate. Prime tra tutte secondo noyb.eu, il fatto che il nuovo Framework sia da considerarsi per gran parte una copia del fallito Privacy Shield e che le attuali disposizioni figurino come una ripetizione di misure passate ed inefficaci, con il rischio di arrivare ad una Schrems III.
Dott.ssa Erika Piu
Comments are closed.