La Commissione Europea ha ufficialmente approvato, con Decisione di Adeguatezza datata 10 luglio 2023, il “EU-US Data Privacy Framework” nel quadro normativo UE-USA in materia di trasferimento dei dati verso gli Stati Uniti.
La decisione in sintesi
Con questa decisione la Commissione ha di fatto formalmente riconosciuto che ora il livello di protezione e le garanzie predisposte in materia di Privacy per la protezione dei dati personali dei cittadini UE che vengono trasferiti e trattati nel territorio statunitense sono paragonabili a quelle dell’Unione Europea e che dunque, assieme alla presenza di tutele legali stabilite di concerto, queste rendono sicuri i servizi di trattamento dei dati verso gli Stati Uniti.
La storia della vicenda
La vicenda, durata oltre un anno, aveva visto nel marzo 2022 la Presidente von der Leyen ed il Presidente Biden annunciare, a seguito di diversi negoziati occorsi tra il Commissario Reynders e il Segretario degli Stati Uniti Raimondo, un accordo di massima sul flusso di dati dall’UE verso gli Stati Uniti a seguito del quale, nell’ottobre del 2022, il Presidente Biden avrebbe poi firmato un ordine esecutivo sul “Rafforzamento delle salvaguardie per le attività di intelligence dei segnali degli Stati Uniti”, integrato da regolamenti emanati dal Procuratore generale degli Stati Uniti Garland. Tali misure, assieme, permettono di far recepire nel diritto statunitense gli impegni assunti dagli Stati Uniti in materia di privacy e trattamento dei dati adeguandosi agli standard UE.
Altro elemento essenziale del quadro giuridico statunitense che sancisce queste salvaguardie è l’ordine esecutivo degli Stati Uniti denominato “Enhancing Safeguards for United States Signals Intelligence Activities” in risposta alle preoccupazioni sollevate dalla Corte di giustizia dell’Unione europea nella sua decisione Schrems II del luglio 2020.
La situazione attuale
I cittadini europei avranno quindi accesso a meccanismi di ricorso indipendenti ed imparziali per dirimere eventuali contenziosi con aziende statunitensi ritenute colpevoli di trattare in modo scorretto i propri dati: tramite questi organi collegiali, che comprendono tra l’altro l’istituzione di un Tribunale di riesame della protezione dei dati (DPRC), si indagheranno tali reclami adottando, in caso, misure correttive vincolanti come la cancellazione dei dati qualora i dati siano stati raccolti in violazione delle nuove garanzie. A ciò si aggiunge inoltre la limitazione dell’operato dei servizi di intelligence USA allo stretto necessario per questo tipo di attività.
Queste nuove salvaguardie, nell’ambito dell’accesso governativo ai dati, andranno ad integrare gli obblighi che le aziende statunitensi che vorranno aderire alla nuova normativa dovranno impegnarsi a rispettare e che prevedono, tra l’altro, l’obbligo di cancellare i dati personali quando non sono più necessari per lo scopo per cui sono stati raccolti e di garantire la continuità della protezione anche quando i dati personali venissero condivisi con terzi.
Le garanzie messe in atto dagli Stati Uniti faciliteranno anche i flussi di dati transatlantici poiché si applicano anche quando i dati vengono trasferiti utilizzando altri strumenti, come le clausole contrattuali standard e le norme vincolanti d’impresa.
Il funzionamento del nuovo Quadro sulla privacy dei dati tra Unione Europea e Stati Uniti sarà soggetto a revisioni periodiche effettuate dalla Commissione europea assieme ai rappresentanti delle Autorità Europee di protezione dei dati ed alle Autorità Statunitensi competenti a partire da un anno dall’entrata in vigore della normativa.