Il 10 luglio la Commissione europea ha adottato lo “EU-US Data Privacy Framework” ovvero l’ultima decisione di adeguatezza (dopo gli invalidati “Safe Harbour” e “Privacy Shield”), con cui viene ufficialmente riconosciuto che gli Stati Uniti garantiscono un livello di protezione dei dati personali “sostanzialmente equivalente” allo standard europeo. La decisione è entrata in vigore con effetto immediato.
Premessa
Il Regolamento UE 2016/679 (“GDPR”), all’articolo 45, legittima il trasferimento di dati personali verso un Paese terzo (ovvero ubicato all’esterno dello Spazio Economico Europeo), se la Commissione europea ha deciso che il Paese in questione garantisce un livello di protezione adeguato. Ciò significa, chiarisce il considerando 104, che il Paese terzo dovrebbe offrire un livello di protezione “sostanzialmente equivalente” a quello assicurato all’interno dell’Unione, mediante:
- un effettivo controllo indipendente della protezione dei dati,
- meccanismi di cooperazione con autorità di protezione dei dati degli Stati membri e
- il riconoscimento, in capo agli interessati, di diritti effettivi e azionabili e di un mezzo di ricorso valevole in sede amministrativa e giudiziale.
Nel mese di luglio 2020, con la nota sentenza nella causa C-311/18 (c.d. Schrems II), la Corte di giustizia dell’UE ha invalidato la decisione sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (c.d. Privacy Shield). La sentenza, riportava che nel diritto statunitense, esistono norme che favoriscono la sicurezza nazionale, attraverso forme di controllo e di sorveglianza della popolazione, a discapito della protezione dei dati personali. Dopo l’invalidamento del Privacy Shield, infatti, si sono moltiplicati i provvedimenti delle Autorità di controllo europee, che hanno imposto il blocco dei trasferimenti e ammonito titolari del trattamento che facevano uso di servizi ubicati negli USA.
Cosa ha permesso di raggiungere una nuova decisione di adeguatezza?
Nel marzo 2022, gli Stati Uniti e la Commissione europea hanno formalizzato il proprio impegno a creare un nuovo “Trans-Atlantic Data Privacy Framework”. Successivamente, il Presidente Biden ha sottoscritto un ordine esecutivo volto a implementare nuove misure di salvaguardia per la privacy e le libertà civili, cui sono seguite nuove procedure per regolamentare le attività di intelligence dei Servizi Segreti. La bozza della decisione di adeguatezza della Commissione è stata revisionata in seguito al parere dell’EDPB di marzo 2023 e, in ultimo, adottata, dopo l’approvazione degli Stati membri dell’UE. La nuova decisione di adeguatezza entra in vigore con effetto immediato a far data dal 10 luglio 2023.
Quali sono le novità?
- Il nuovo Data Protection Framework (per semplicità “DPF” o “Framework”) è basato su un meccanismo che consente alle imprese statunitensi di certificarsi, formalizzando il proprio impegno al rispetto di determinati obblighi e principi privacy: liceità, correttezza e trasparenza, limitazione delle finalità, minimizzazione dei dati trattati.
- Per poter ottenere la certificazione, le imprese statunitensi devono essere soggette ai poteri di indagine e di vigilanza della Federal Trade Commission (FTC) o del Department of Transportation (DoT) degli Stati Uniti e la certificazione va rinnovata annualmente.
- Il Framework prevede meccanismi di supervisione per verificare e garantire, anche attraverso procedure sanzionatorie, che le organizzazioni aderenti rispettino i principi e che venga affrontata qualsiasi mancanza di conformità.
- A tutela degli interessati sono state previste misure per regolamentare l’accesso e l’utilizzo dei dati personali trasferiti dall’Unione Europea da parte delle autorità pubbliche degli Stati Uniti, affinché l’accesso sia limitato a quanto necessario e proporzionato per proteggere la sicurezza nazionale.
Secondo la Commissione, la nuova decisione garantirà:
- Protezione adeguata dei dati dei cittadini europei trasferiti negli Stati Uniti, in linea con i requisiti della Corte di giustizia europea;
- Flussi di dati sicuri e protetti;
- Una base giuridica durevole e affidabile.
Quale futuro avrà il Data Protection Framework?
La prima revisione avrà luogo entro un anno dall’entrata in vigore della decisione di adeguatezza. Successivamente, in base all’esito del primo esame, la Commissione deciderà, in consultazione con gli Stati membri dell’UE e le Autorità di protezione dei dati, la periodicità dei futuri esami, che avranno luogo almeno ogni quattro anni. È importante ricordare però che le decisioni di adeguatezza possono essere adattate o revocate in caso di sviluppi che incidano sul livello di protezione nel Paese terzo.