Decorsi tre lunghi anni dalla ormai nota sentenza Schrems II che ha invalidato il Privacy Schield, la Commissione Europea ha adottato la propria decisione di adeguatezza sul trasferimento di dati personali dall’UE verso gli USA nell’ambito del EU-US Data Privacy Framework (di seguito anche EU-US DPF).
La decisione ritiene che il trasferimento di dati personali dall’UE verso le società USA può ritenersi avente un livello adeguato di protezione (paragonabile a quello dell’Unione europea) qualora avvenga nel rispetto di quanto previsto all’interno della decisione stessa e nell’ambito del nuovo quadro di protezione dei dati, l’EU-US DPF.
Sulla base della nuova decisione, i dati personali potranno essere trasferiti in modo sicuro dall’UE verso le imprese USA che vorranno certificarsi, impegnandosi a rispettare una serie di principi in materia protezione dei dati racchiusi nell’EU-US DPF. A titolo esemplificativo, alle stesse è imposto l’obbligo di cancellare i dati personali quando non sono più necessari per lo scopo per il quale sono stati raccolti e devono garantire la continuità della protezione quando i dati personali quando gli stessi siano comunicati e/o condivisi con terzi soggetti esterni alla loro organizzazione. Per poter ottenere la suddetta certificazione un’organizzazione USA dovrà altresì accettare di essere soggetta a controlli specifici sia da parte della Federal Trade Commission (FTC) sia da parte del Department of Transportation degli Stati Uniti.
In particolare, il EU-US DPF introduce nuove garanzie vincolanti per affrontare tutte le preoccupazioni sollevate dalla Corte di giustizia europea con la nota sentenza Schrems II, tra cui la limitazione dell’accesso ai dati dell’UE da parte dei servizi di intelligence statunitensi a quanto necessario e proporzionato e l’istituzione di un Tribunale di Riesame della Protezione Dei Dati (DPRC), a cui i cittadini dell’UE avranno accesso e dotato di specifici poteri. Il Tribunale, quale organo indipendente nelle attività di indagine e di gestione dei reclami ricevuti potrà adottare misure correttive vincolanti quali, tra le altre, la cancellazione dei dati personali laddove sia rilevato che gli stessi sono trattati in violazione delle garanzie previste dal nuovo EU-US DPF.
Prossime tappe:
- Il funzionamento del EU-US DPF sarà soggetto a revisioni periodiche, che saranno effettuate dalla Commissione europea, insieme ai rappresentanti delle autorità europee per la protezione dei dati e delle autorità statunitensi competenti.
- Il primo riesame avrà luogo entro un anno dall’entrata in vigore della decisione di adeguatezza, al fine di verificare che tutti gli elementi pertinenti siano stati pienamente attuati nel quadro giuridico statunitense e funzionino efficacemente nella pratica.