Nella giornata di ieri, 13 dicembre, la Commissione europea ha avviato il processo verso l'adozione di una decisione di adeguatezza per il nuovo framework che disciplinerà i trasferimenti dei dati tra Europa e Stati Uniti. La bozza della decisione di adeguatezza, che riporta quanto enunciato nell’ordine esecutivo del presidente americano Biden il 7 ottobre 2022, è stata pubblicata e trasmessa al Comitato europeo per la protezione dei dati (EDPB) per il suo parere.
Elementi chiave
Le società statunitensi potranno aderire al “Data Privacy Framework UE-USA” impegnandosi a rispettare una serie dettagliata di obblighi in materia di privacy, ad esempio l'obbligo di eliminare i dati personali quando non sono più necessari per lo scopo per il quale sono stati raccolti, e per garantire la continuità della protezione quando i dati personali sono condivisi con terzi.
I cittadini dell'UE beneficeranno di diverse vie di ricorso se i loro dati personali sono trattati in violazione del framework, anche gratuitamente dinanzi a meccanismi indipendenti di risoluzione delle controversie e un collegio arbitrale.
Inoltre, la bozza del documento prevede una serie di limitazioni e garanzie relative all'accesso ai dati da parte delle autorità pubbliche statunitensi, in particolare per l'applicazione della legge penale e per finalità di sicurezza nazionale. Ciò include le nuove regole introdotte dall'ordine esecutivo degli Stati Uniti, che ha affrontato le questioni sollevate dalla Corte di giustizia dell'UE nella sentenza Schrems II:
- l'accesso ai dati europei da parte delle agenzie di intelligence statunitensi sarà limitato a quanto necessario e proporzionato per proteggere la sicurezza nazionale;
- i cittadini dell'UE avranno la possibilità di ottenere un risarcimento in merito alla raccolta e all'utilizzo dei propri dati da parte delle agenzie di intelligence statunitensi dinanzi a un meccanismo di ricorso indipendente e imparziale, che comprende un tribunale di revisione per la protezione dei dati di nuova creazione.
Il progetto di decisione di adeguatezza sarà sottoposto all’esame del Comitato europeo per la protezione dei dati (EDPB) e successivamente all’approvazione da parte di un comitato composto da rappresentanti degli Stati membri dell'UE. Completata questa procedura, la Commissione può procedere all'adozione della decisione finale di adeguatezza, che avverrà presumibilmente nella primavera del 2023.
Il funzionamento del Data Privacy Framework UE-USA sarà soggetto a revisioni periodiche, che saranno effettuate dalla Commissione europea, insieme alle autorità europee per la protezione dei dati e alle autorità statunitensi competenti.
Una volta adottata la decisione di adeguatezza, le organizzazioni europee potranno trasferire i dati personali negli Stati Uniti senza dover predisporre ulteriori garanzie di protezione dei dati.
A cura del Dipartimento Compliance, Media e Tecnologia
