- L’approvazione del Data Privacy Framework UE-USA sublima gli anni di negoziati in ambito di protezione dei dati personali trasmessi dall’UE verso gli Stati Uniti.
- Questa decisione consente il trasferimento di dati personali dall’UE alle società statunitensi autocertificate senza ulteriori garanzie, con il tacito accordo di rispettare i regolamenti imposti dal nuovo Data Privacy Framework UE-USA.
- Il DPF affronta le preoccupazioni sollevate dalla Commissione Europea, e introduce misure per garantire un livello adeguato di protezione dei dati.
Se c’è una cosa a cui la Commissione Europea tiene particolarmente, è la privacy dei suoi cittadini. Il giro di vite compiuto negli scorsi anni in ambito di trasmissione e condivisione dei dati aveva costretto il Garante Europeo ad adottare misure drastiche per arginare l’emorragia di dati inviati a paesi terzi.
Tuttavia, oggi pare che la situazione si sia parzialmente sbloccata.
Dopo anni di negoziati, Il 10 luglio 2023 la Commissione Europea, in accordo con gli Stati Uniti, ha infatti scelto di adottare il Data Privacy Framework (DPF) UE-USA, regolamento condiviso che consentirà il trasferimento di dati personali dall’Unione Europea (UE) agli Stati Uniti.
Gli USA si sarebbero quindi “messi in regola”, assicurando all’UE un livello di protezione dei dati adeguato. Vediamo nei dettagli di cosa si tratta.
Trasferimento dati UE-USA: il tira e molla tra Unione Europea e Stati Uniti
Per comprendere appieno l’importanza di questa decisione, è necessario esaminare il contesto storico degli accordi precedenti tra l’UE e gli Stati Uniti per la protezione dei dati personali. Nel 2000, abbiamo il “Safe Harbor“, adottato dalla Commissione europea che ai tempi riconobbe l’idoneità delle misure di protezione dei dati fornite dagli Stati Uniti.
Tuttavia, nel 2015, l’accordo Safe Harbor fu invalidato, a seguito della decisione Schrems I della Corte di giustizia dell’UE. Nel 2016, l’introduzione del “Privacy Shield” come sostituto del Safe Harbor. E infine nel 2020, la decisione Shrems II, che stabiliva una netta incompatibilità del Privacy Shield con il General Data Protection Regulation (GDPR) dell’UE.
Dopo l’invalidazione del Privacy Shield, il via a lunghi negoziati tra l’UE e gli Stati Uniti per stabilire un nuovo quadro normativo per il trasferimento dei dati personali. E si arriva a oggi, con il Data Privacy Framework UE-USA.
L’accordo USA-UE sulla protezione dei dati e il nuovo regolamento DPF UE-USA
Il DPF UE-USA è stato specificatamente progettato per affrontare le preoccupazioni sollevate dalla Corte di Giustizia europea, e per garantire un livello adeguato di protezione dei dati personali. Di seguito, alcuni dei suoi punti salienti.
Accesso ai dati: le limitazioni
Una delle principali preoccupazioni sollevate dalla decisione Schrems II riguardava la possibilità per le agenzie di intelligence statunitensi di accedere ai dati personali degli utenti europei.
Il DPF UE-USA affronta quest’istanza limitando l’accesso ai dati solo a ciò che è considerato “necessario e proporzionato”. Questo garantisce un livello di protezione adeguato, assicurando al contempo i legittimi interessi di sicurezza nazionale avanzati dagli USA.
Possibilità di ricorso tramite enti imparziali
Per proteggere i diritti dei cittadini dell’UE e promuovere pratiche trasparenti, il DPF UE-USA istituisce un meccanismo di ricorso a due livelli in caso di violazioni.
Il primo livello coinvolge un funzionario per la protezione delle libertà civili (Civil Liberties Protection Officer, CLPO) proveniente dall’intelligence americana. Questo funzionario indaga in modo indipendente sui reclami presentati dai cittadini dell’UE, fornendo i risultati alle autorità di protezione dei dati dei rispettivi paesi.
Il secondo livello prevede il Tribunale per il Riesame della Protezione dei Dati (Data Protection Review Court, DPRC), un organo indipendente e vincolante che esamina i ricorsi contro le decisioni prese dal CLPO. Questo meccanismo assicura un’indagine obiettiva e imparziale delle controversie legate alla protezione dei dati.
Pieno controllo dei propri dati ai cittadini UE
Veniamo però ai diretti interessati: i cittadini detentori dei dati in questione. Il DPF UE-USA stabilisce anche un legittimo obbligo di trasparenza. I cittadini avranno quindi il diritto di
- accedere ai propri dati
- richiedere la rettifica in caso di errori o procedure irregolari
- chiederne la cancellazione
- avere accesso a un meccanismo indipendente e gratuito di risoluzione delle controversie – quello citato in precedenza.
Non solo dati personali
Le garanzie fornite dal governo statunitense nell’ambito dell’accordo UE-USA non si limitano solo ai trasferimenti di dati personali attraverso il DPF, ma si estendono anche ad altri meccanismi di trasferimento, come le clausole contrattuali standard e le norme aziendali vincolanti.
Il che garantisce una protezione a 360° su tutti i fronti, qualsiasi sia il meccanismo di trasferimento utilizzato.
Costante monitoraggio della conformità
Per garantire che il DPF UE-USA rimanga aggiornato e rilevante anche negli anni a venire, esso sarà regolarmente soggetto a revisioni periodiche per garantire la conformità continua alle norme sulla protezione dei dati.
Nel caso in cui fosse necessaria una revisione e una modifica, entrambe le parti si riservano di avanzare istanze in merito. La prima revisione è già prevista a un anno dall’entrata in vigore del DPF UE-USA.
Data Privacy Framework UE-USA – Domande frequenti
Il Data Privacy Framework UE-USA è già entrato in vigore il 10 lugluo 2023.
Non esiste un GDPR specifico per gli Stati Uniti. Mentre l’UE ha implementato il General Data Protection Regulation (GDPR) per tutelare la privacy dei cittadini europei, negli Stati Uniti esistono diverse leggi sulla privacy a livello federale e statale.
No, il Privacy Shield UE-USA non è più valido. È stato dichiarato invalido dalla Corte di giustizia dell’Unione Europea (CGUE) nel luglio 2020 nella decisione Schrems II.
Francesca Di Feo
Redattrice Partitaiva.it