Lo scorso 10 luglio la Commissione Europea ha adottato la decisione con la quale ha determinato che gli Stati Uniti garantiscono un adeguato livello di protezione dei dati personali trasferiti dall’Unione Europea a organizzazioni che hanno sede negli Stati Uniti e che sono incluse nel “Data Privacy Framework List”, mantenuto e reso disponibile al pubblico dal Dipartimento del Commercio degli Stati Uniti.
Con una successiva nota informativa il Comitato europeo per la protezione dei dati (“EDPB”) ha fornito chiarimenti in merito al Data Privacy Framework e al nuovo meccanismo di ricorso in materia di sicurezza nazionale, a beneficio delle organizzazioni che trasferiscono dati personali negli Stati Uniti.
In primo luogo, l’EDPB ha evidenziato che a partire dalla data di emissione della decisione di adeguatezza (10 luglio 2023) i trasferimenti dall’Unione Europea alle organizzazioni che hanno sede negli Stati Uniti e che sono incluse nella “Data Privacy Framework List” possono essere basati esclusivamente sulla decisione di adeguatezza e non è necessario che siano adottate misure supplementari.
Al contrario, i trasferimenti a organizzazioni che non sono incluse nella “Data Privacy Framework List” non potranno essere basati sulla decisione di adeguatezza e richiederanno adeguate garanzie a protezione dei dati, circostanza che potrebbe concretizzarsi attraverso la sottoscrizione di clausole contrattuali standard o norme vincolanti d’impresa.
In secondo luogo, l’EDPB ha rilevato che i soggetti interessati i cui dati personali vengono trasferiti negli Stati Uniti in base alla decisione di adeguatezza, possono avvalersi di diversi strumenti di tutela se ritengono che l’organizzazione statunitense non si conformi con il Data Privacy Framework. Gli interessati sono incoraggiati a manifestare qualsiasi reclamo, in prima istanza, direttamente con l’organizzazione statunitense. Se necessario, potranno chiedere il parere delle Autorità di Controllo europee competenti a vigilare sul trattamento dei dati personali.
Indipendentemente dallo strumento utilizzato per il trasferimento dei dati personali negli Stati Uniti, i soggetti interessati potranno rivolgersi alle Autorità di Controllo europee per avvalersi del nuovo meccanismo di ricorso in materia di sicurezza nazionale. L’Autorità di Controllo competete garantirà che il reclamo venga trasmesso all’EDPB che, a sua volta, lo trasmetterà alle autorità competenti a trattare il reclamo negli Stati Uniti.
Inoltre, l’Autorità di Controllo competente garantirà che l’interessato riceva informazioni in merito a reclamo proposto.
L’EDPB evidenzia che affinché un reclamo sia ammissibile i soggetti interessati non devono dimostrare che i loro dati sono stati effettivamente raccolti dall’intelligence statunitense.