Data Privacy Framework UE-USA: al via dalla Commissione UE

Il 10 luglio 2023 la Commissione dell’UE ha adottato una decisione di adeguatezza per il Data Privacy Framework UE-USA, concludendo che gli USA garantiscono un livello adeguato di protezione, rispetto a quello dell’UE, per i dati personali trasferiti dall’UE a company USA che partecipano al quadro sulla privacy dei dati UE-USA. Tale decisione copre i trasferimenti di dati da qualsiasi entità pubblica o privata nel SEE a company USA che partecipano al quadro UE-USA sulla privacy dei dati.

1. Decisione di adeguatezza del 10 luglio

La decisione di adeguatezza fa seguito alla firma da parte degli USA di un ordine esecutivo in tema di “rafforzamento delle misure di salvaguardia per le attività di intelligence sui segnali degli Stati Uniti”, il quale ha introdotto nuove garanzie vincolanti per affrontare le questioni evidenziate dalla CEDU nella decisione Schrems II del luglio 2020. I nuovi obblighi puntano a garantire che le agenzie di intelligence USA possano accedere ai dati solo nella misura necessaria e proporzionata e a istituire un meccanismo di ricorso indipendente e imparziale per gestire e risolvere i reclami degli europei riguardanti la raccolta di loro dati per motivi di sicurezza nazionale.

2. Quadro sulla privacy dei dati UE-USA

Nella decisione di adeguatezza del 10 luglio la Commissione UE ha valutato i requisiti derivanti dal quadro UE-USA sulla privacy dei dati, nonché le limitazioni e le garanzie che operano quando le autorità pubbliche statunitensi hanno accesso ai dati personali trasferiti negli USA, in particolare per finalità di applicazione della legge penale e di sicurezza nazionale. La decisione di adeguatezza ha concluso che gli USA garantiscono un livello adeguato di protezione dei dati personali trasferiti dall’UE alle company che partecipano al quadro UE-USA sulla privacy dei dati. Con l’adozione della decisione di adeguatezza, le entità europee sono in grado di trasferire i dati personali alle società partecipanti negli Stati Uniti, senza dover mettere in atto ulteriori garanzie di protezione dei dati. Il quadro fornisce alle persone dell’UE i cui dati sarebbero trasferiti alle società partecipanti negli USA con differenti nuovi diritti, offrendo al contempo accesso ai ricorsi quando i loro dati siano stati trattati in modo errato. Le company USA possono certificare la loro partecipazione al Data Privacy Framework UE-USA impegnandosi a rispettare una serie di obblighi in materia di privacy. Il Framework sarà amministrato dal Dipartimento del Commercio USA, che elaborerà le domande di certificazione e controllerà se le aziende partecipanti continuano a soddisfare i requisiti di certificazione. La compliance da parte delle società statunitensi ai loro obblighi ai sensi del quadro sulla privacy dei dati UE-USA sarà applicata dalla Commissione federale per il commercio USA.

3. Limitazioni e garanzie sull’accesso ai dati da parte delle agenzie di intelligence USA

Un elemento essenziale del quadro giuridico statunitense su cui si basa la decisione di adeguatezza riguarda l’Executive Order on “Enhancing Safeguards for United States Signals Intelligence Activities”, sottoscritto dal presidente Biden il 7 ottobre e accompagnato da regolamenti adottati dall’Attorney General. Questi strumenti sono stati adottati per affrontare le questioni sollevate dalla Corte di giustizia nella sentenza Schrems II. Per gli europei i cui dati personali sono trasferiti negli USA, l’Executive Order prevede:

• Garanzie vincolanti che limitano l’accesso ai dati da parte delle autorità di intelligence statunitensi a quanto necessario e proporzionato per proteggere la sicurezza nazionale;
• Maggiore controllo delle attività da parte dei servizi di intelligence statunitensi per garantire il rispetto delle limitazioni alle attività di sorveglianza; 
• L’istituzione di un meccanismo di ricorso indipendente e imparziale, che include un nuovo tribunale di revisione della protezione dei dati per indagare e risolvere i reclami relativi all’accesso ai propri dati da parte delle autorità di sicurezza nazionale degli USA.

Potrebbero interessarti anche:

• Lo scambio di Dati tra Europa e Stati Uniti: i nuovi accordi
• Accordo USA UE per il trasferimento dei dati, chi esulta e chi no
• Trasferimento dati UE-USA: il Parlamento dice no alla decisione di adeguatezza

4. Strumenti di ricorso in ambito sicurezza nazionale

Il governo USA ha istituito un nuovo meccanismo di ricorso a due livelli, con autorità indipendente e vincolante, per gestire e risolvere i reclami degli individui i cui dati siano stati trasferiti dal SEE a società negli Stati Uniti in merito alla raccolta e all’utilizzo dei propri dati da parte delle agenzie di intelligence. Le persone possono presentare un reclamo alla propria autorità nazionale per la protezione dei dati, la quale deve garantire che il reclamo sia trasmesso correttamente e che ogni ulteriore informazione relativa alla procedura sia fornita all’interessato, così assicurando che le persone possano rivolgersi a un’autorità prossima, e nella loro lingua. I reclami saranno trasmessi agli Stati Uniti dal Comitato europeo per la protezione dei dati. In prima battuta le denunce sono esaminate dal “Responsabile per la protezione delle libertà civili” della comunità dell’intelligence statunitense, responsabile di garantire il rispetto della privacy e dei diritti fondamentali da parte delle agenzie di intelligence USA. In seconda battuta è possibile presentare ricorso contro la decisione del responsabile della protezione delle libertà civili dinanzi al tribunale per il riesame della protezione dei dati (DPRC) di nuova creazione. La Corte è composta da membri esterni al governo USA, nominati sulla base di specifiche qualifiche, che possono essere licenziati per giusta causa e non possono ricevere istruzioni del governo. La DPRC ha il potere di indagare sulle denunce di individui dell’UE, anche per ottenere informazioni pertinenti dalle agenzie di intelligence, e può prendere decisioni correttive vincolanti. Quando l’ufficiale per la protezione delle libertà civili o il DPRC avranno finito l’indagine, il denunciante verrà informato che non è stata identificata alcuna violazione della legge USA ovvero che è stata rilevata una violazione e vi è stato posto rimedio. 

5. Timeline

La decisione di adeguatezza è entrata in vigore in contemporanea alla sua adozione. Non sono stati definiti limiti di carattere cronologico, tuttavia la Commissione UE monitorerà in modo costante le evoluzioni che rilevano negli Stati Uniti, con la conseguenza che in tali situazioni riesaminerà la decisione di adeguatezza. Il primo riesame avrà luogo entro un anno dall’entrata in vigore (10 luglio 2023) della decisione di adeguatezza nella finalità di verificare se tutti gli elementi pertinenti del quadro giuridico USA operino in modo efficace nella pratica. Sulla base delle risultanze di tale primo riesame, la Commissione UE deciderà, in consultazione con gli Stati membri dell’UE e le autorità per la protezione dei dati, sulla periodicità dei prossimi riesami, che avranno luogo almeno ogni quattro anni. Le decisioni di adeguatezza possono essere adattate o ritirate in ipotesi di evoluzioni che incidano sul livello di protezione nel paese terzo.

6. Impatto della decisione sul trasferimento dei dati verso gli USA

Le tutele messe in atto dal governo USA nell’ambito della sicurezza nazionale (incluso il meccanismo di ricorso) operano verso i trasferimenti di dati ai sensi del GDPR alle company negli USA, a prescindere dai meccanismi di trasferimento impiegati. 

Vuoi restare aggiornato?

Con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!