Protezione dei dati: la Commissione europea adotta una nuova decisione di adeguatezza per i trasferimenti sicuri di dati tra UE e USA
La Commissione europea ha adottato oggi la decisione sull'adeguatezza del quadro normativo UE-USA in materia di protezione dei dati. La decisione conclude che gli Stati Uniti garantiscono un livello adeguato di protezione dei dati - paragonabile a quello dell'Unione europea - per i dati personali trasferiti dall'UE alle società statunitensi nell'ambito del nuovo quadro. Grazie alla nuova decisione di adeguatezza, i dati personali possono essere trasferiti in modo sicuro dall'UE alle società statunitensi che partecipano al quadro normativo senza la necessità di ulteriori garanzie di protezione dei dati.
Il quadro sulla privacy UE-USA introduce nuove garanzie vincolanti per rispondere a tutte le preoccupazioni sollevate dalla Corte di giustizia europea, tra cui la limitazione dell'accesso ai dati dell'UE da parte delle agenzie di intelligence statunitensi allo stretto necessario e proporzionato e l'istituzione di un tribunale per il riesame della protezione dei dati (DPRC) a cui avranno accesso i cittadini dell'UE. Il nuovo quadro normativo apporta significativi miglioramenti rispetto al Privacy Shield. Se il DPRC scopre che i dati sono stati raccolti in violazione delle nuove garanzie, può ordinarne la cancellazione. Le nuove garanzie nell'ambito dell'accesso governativo ai dati integrano gli obblighi a cui saranno soggette le aziende statunitensi quando importano dati dall'UE.
La Presidente Ursula von der Leyen ha dichiarato: "Il nuovo quadro per la protezione dei dati UE-USA garantirà flussi di dati sicuri per gli europei e fornirà certezza giuridica alle imprese su entrambe le sponde dell'Atlantico. A seguito dell'accordo di principio raggiunto con il Presidente Biden lo scorso anno, l'amministrazione statunitense ha attuato impegni senza precedenti per istituire il nuovo quadro. Oggi compiamo un passo importante per dare ai cittadini la certezza che i loro dati siano al sicuro, per approfondire le nostre relazioni economiche UE-USA e per riaffermare i nostri valori condivisi. Questo dimostra che lavorando insieme possiamo risolvere problemi complessi".
Le aziende statunitensi possono aderire al quadro di protezione dei dati UE-USA impegnandosi a rispettare una serie dettagliata di obblighi di protezione dei dati, come l'obbligo di cancellare i dati personali quando non sono più necessari per lo scopo per cui sono stati raccolti e di continuare a proteggerli quando i dati personali sono condivisi con terzi.
I cittadini dell'UE avranno a disposizione diversi modi per reclamare se i loro dati vengono gestiti in modo scorretto dalle aziende statunitensi. Tra questi, meccanismi indipendenti di risoluzione delle controversie e un collegio arbitrale, che saranno disponibili gratuitamente.
Inoltre, l'ordinamento giuridico statunitense prevede una serie di garanzie per quanto riguarda l'accesso da parte delle autorità statunitensi ai dati trasferiti nell'ambito del Framework, in particolare per le indagini penali e per scopi di sicurezza nazionale. L'accesso ai dati è limitato a quanto necessario e opportuno per proteggere la sicurezza nazionale.
I cittadini dell'UE avranno accesso a un meccanismo di ricorso indipendente e imparziale per quanto riguarda la raccolta e l'utilizzo dei loro dati da parte delle agenzie di intelligence statunitensi, compreso un tribunale per la revisione della protezione dei dati (DPRC) di recente creazione. Il tribunale esaminerà in modo indipendente e risolverà i reclami adottando misure correttive vincolanti.
Le garanzie introdotte dagli Stati Uniti facilitano anche i flussi di dati transatlantici in generale, in quanto si applicano anche quando i dati vengono trasferiti utilizzando altri strumenti come le clausole contrattuali standard e le norme vincolanti d'impresa.
Le prossime tappe
Il funzionamento del quadro di protezione dei dati UE-USA è soggetto a revisioni periodiche effettuate dalla Commissione europea insieme ai rappresentanti delle autorità europee di protezione dei dati e alle autorità statunitensi competenti.
Il primo esame avrà luogo entro un anno dall'entrata in vigore della decisione di adeguatezza per verificare che tutti gli elementi pertinenti del sistema giuridico statunitense siano stati pienamente attuati e funzionino efficacemente nella pratica.
Sfondo
L'articolo 45, paragrafo 3, del Regolamento generale sulla protezione dei dati (GDPR) conferisce alla Commissione il potere di stabilire, mediante un atto di esecuzione, che un Paese non appartenente all'UE garantisce un "livello adeguato di protezione dei dati", ossia un livello di protezione dei dati personali sostanzialmente equivalente al livello di protezione all'interno dell'UE. Le decisioni di adeguatezza consentono ai dati personali di fluire liberamente dall'UE (nonché dalla Norvegia, dal Liechtenstein e dall'Islanda) verso un Paese terzo senza ulteriori ostacoli.
In seguito all'annullamento della precedente decisione di adeguatezza sullo Scudo per la privacy UE-USA da parte della Corte di giustizia dell'Unione europea, la Commissione europea e il governo degli Stati Uniti hanno avviato i negoziati per un nuovo quadro che affronti le questioni sollevate dalla Corte.
Nel marzo 2022, la Presidente von der Leyen e il Presidente Biden hanno annunciato di aver raggiunto un accordo di principio su un nuovo quadro transatlantico per il flusso di dati, a seguito di negoziati tra il Commissario Reynders e il Segretario degli Stati Uniti Raimondo. Nell'ottobre 2022, il Presidente Biden ha firmato un ordine esecutivo per "rafforzare le salvaguardie per le attività di intelligence dei segnali degli Stati Uniti", che è stato integrato da regolamenti emanati dal Procuratore Generale Garland.