Una buona sintesi in tedesco della bozza di decisione sull'adeguatezza.
La Commissione europea ha pubblicato la tanto attesa bozza di decisione di adeguatezza per i trasferimenti di dati dall'UE agli Stati Uniti, dopo aver analizzato la legge e la prassi statunitensi, compresi l'Executive Order 14086 e il regolamento AG. La Commissione conclude che gli Stati Uniti garantiscono un livello adeguato di protezione dei dati personali trasferiti nell'ambito del quadro dello scudo per la privacy UE-USA. Il quadro dello scudo per la privacy UE-USA è un sistema di certificazione in base al quale le organizzazioni statunitensi si impegnano a rispettare una serie di principi di protezione dei dati emessi dal Dipartimento del Commercio degli Stati Uniti. I principi si applicano immediatamente dopo la certificazione. Non influiscono sui requisiti del Regolamento (UE) 2016/679 che si applicano alle entità dell'Unione che trasferiscono dati, come la limitazione delle finalità, la minimizzazione dei dati, la trasparenza e la sicurezza dei dati.
I dati personali possono essere trasferiti dall'UE agli Stati Uniti ai sensi del GDPR UE-USA, ad eccezione dei dati raccolti per la pubblicazione, la trasmissione o altre forme di comunicazione pubblica di materiale giornalistico. I principi di trattamento dei dati UE-USA si applicano alle organizzazioni negli Stati Uniti che sono considerate responsabili del trattamento o incaricati del trattamento e sono contrattualmente obbligate ad agire solo su indicazione del responsabile del trattamento UE e ad assistere il responsabile del trattamento UE nel rispondere alle richieste delle persone che esercitano i loro diritti ai sensi dei principi. Secondo il quadro normativo dello Scudo per la privacy UE-USA, i dati personali devono essere trattati in modo lecito e corretto e non devono essere incompatibili con lo scopo per cui sono stati originariamente raccolti.
In alcune circostanze, non è necessario ottenere il consenso per il trattamento dei dati sensibili. Tuttavia, in conformità al principio dell'integrità dei dati e della limitazione delle finalità, le organizzazioni devono garantire che i dati personali siano accurati, completi e aggiornati e possono conservarli solo per il tempo necessario a conseguire le finalità per le quali sono stati originariamente raccolti o per le quali l'interessato ha dato il proprio consenso in conformità al principio della libertà di scelta. Inoltre, i dati personali devono essere trattati in modo da garantirne la sicurezza, compresa la protezione da trattamenti non autorizzati o illeciti e da perdite, distruzioni o danni accidentali. Infine, i responsabili e gli incaricati del trattamento devono attuare misure tecniche e organizzative adeguate.