Iubenda logo
Inizia la generazione

Documentazione

Indice dei contenuti

Data Privacy Framework: l’UE dà il via libera ai trasferimenti di dati personali verso gli USA 

 

 

Il 10 luglio 2023, la Commissione europea ha fatto un annuncio significativo adottando la propria decisione di adeguatezza sul Data Privacy Framework (DPF) UE-USA.

Con questa decisione, gli Stati Uniti vengono ancora una volta riconosciuti come in grado di fornire un livello adeguato di protezione all’Unione Europea (UE). Di conseguenza, i dati personali possono ora fluire liberamente dall’UE alle società statunitensi che si sono autocertificate senza la necessità di ulteriori garanzie.

Questo articolo approfondirà i dettagli della decisione ed evidenzierà le principali revisioni apportate al Privacy Shield precedentemente invalidato.

  • Luglio 2000: la Commissione europea adotta la decisione che conferma l’adeguatezza della protezione fornita dai principi dell’accordo “Safe Harbor”.
  • Ottobre 2015: l’accordo “Safe Harbour” viene invalidato a seguito della prima decisione Schrems.
  • Luglio 2016: la Commissione europea adotta la decisione sull’adeguatezza della protezione fornita dal Privacy Shield UE-USA.
  • Luglio 2020: la Corte di giustizia dell’Unione Europea (CGUE) dichiara il Privacy Shield UE-USA incompatibile con il GDPR e, pertanto, non più valido.
  • Marzo 2022: la presidente von der Leyen e il presidente Biden raggiungono un accordo di principio su un nuovo Data Privacy Framework transatlantico.
  • Ottobre 2022: il presidente Joe Biden firma l’ordine esecutivo 14086 su “Enhancing Safeguards for United States Signals Intelligence Activities.”
  • Dicembre 2022: la Commissione europea adotta la proposta di decisione di adeguatezza relativa al Data Privacy Framework.
  • Febbraio 2023: il Comitato europeo per la protezione dei dati adotta il suo parere sulla decisione di adeguatezza.
  • Maggio 2023: risoluzione non vincolante del Parlamento europeo.
  • Luglio 2023: quasi tutti i rappresentanti degli Stati membri dell’UE approvano la proposta di decisione di adeguatezza.
  • Luglio 2023: La Commissione europea adotta ufficialmente la decisione di adeguatezza sul Data Privacy Framework UE-USA.

Il Data Privacy Framework UE-USA

Il DPF UE-USA rappresenta un passo fondamentale nel ripristino della fiducia nei confronti dei trasferimenti transatlantici di dati personali.

Con la sentenza Schrems II della Corte di giustizia dell’Unione Europea, infatti, il precedente Privacy Shield era stato invalidato a causa di dubbi sulla legittimità dell’accesso ai dati da parte delle agenzie di intelligence statunitensi.

Il nuovo quadro normativo introdotto dal DPF UE-USA affronta questi dubbi e preoccupazioni in diversi modi:

1. Accesso necessario e proporzionato ai dati

In base al DPF UE-USA, l’accesso ai dati da parte delle agenzie di intelligence statunitensi è ora limitato a ciò che è ritenuto “necessario e proporzionato“.

Questo garantisce che il trasferimento dei dati sia conforme a rigorosi standard di protezione, bilanciando al contempo i legittimi interessi di sicurezza nazionale.

2. Meccanismo di ricorso a due livelli

Al fine di incentivare pratiche responsabili e trasparenti e proteggere i diritti dei cittadini dell’UE, è stato istituito un nuovo meccanismo di ricorso a due livelli.

  1. Il primo livello è costituito da un funzionario per la protezione delle libertà civili (Civil Liberties Protection Officer, CLPO), proveniente dagli ambienti dell’intelligence americana, che indaga in modo indipendente e obiettivo sui reclami presentati dai cittadini dell’UE (gratuitamente e nella loro lingua) riportando i risultati direttamente alle autorità di protezione dei Paesi da cui la segnalazione è pervenuta. Questi reclami vengono poi trasmessi dal Comitato europeo per la protezione dei dati agli Stati Uniti.
  2. Il secondo livello comprende il Tribunale per il riesame della protezione dei dati (Data Protection Review Court, DPRC), un organo indipendente e vincolante. Il DPRC esamina i ricorsi fatti contro le decisioni prese dal CLPO. È importante notare che i membri del DPRC possiedono qualifiche specifiche e operano al di fuori dell’influenza o delle istruzioni del governo statunitense, garantendo imparzialità ed equità.

3. Diritti per i cittadini dell’UE

La decisione di adeguatezza garantisce diversi diritti ai cittadini dell’UE i cui dati sono stati trasferiti a società statunitensi autocertificate. Tali diritti garantiscono la possibilità di:

  1. accedere ai propri dati;
  2. richiedere rettifiche; 
  3. cancellare i dati errati o trattati illegalmente; e 
  4. accedere a vie di ricorso attraverso un meccanismo indipendente e gratuito di risoluzione delle controversie e un collegio arbitrale.

4. Applicabilità e garanzie più ampie

Le garanzie fornite dal governo statunitense nell’ambito dell’accordo UE-USA vanno oltre i dati personali trasferiti tramite questo framework. Si applicano infatti anche a questi altri casi:

  • clausole contrattuali standard; o 
  • norme aziendali vincolanti. 

Questa applicazione più ampia garantisce un adeguato livello di protezione dei dati personali per i cittadini dell’UE, indipendentemente dal meccanismo di trasferimento usato.

5. Revisioni periodiche e monitoraggio continuo della conformità

Per garantire la continua conformità, il Data Privacy Framework UE-USA sarà soggetto a revisioni periodiche.

La prima revisione è prevista entro un anno dall’entrata in vigore del framework. La Commissione europea monitorerà costantemente gli sviluppi rilevanti negli Stati Uniti per garantire il mantenimento delle misure di salvaguardia stabilite.

Cosa devi fare? 

Al momento non sono necessarie azioni immediate. Occorre attendere che le aziende statunitensi completino il processo di autocertificazione prima di procedere col trasferimento dei dati personali.

L’approvazione dell’EU-US Data Privacy Framework da parte della Commissione europea rappresenta una pietra miliare per la protezione dei dati personali oltreoceano. Con la sua adozione, il trasferimento dei dati personali dall’UE alle aziende statunitensi potrà riprendere a condizione che quest’ultime partecipino al framework.

Usi Google Analytics o altri servizi US? Ricordati di includerli nella tua privacy policy.

Aggiorna la tua Privacy Policy

Hai ancora domande?

Partecipa a uno dei nostri webinar gratuiti Scrivici via email Live chat