In data 10 luglio 2023, la Commissione Europea ha adottato la decisione di adeguatezza per l’ “EU-US Data Privacy Framework” (di seguito anche “DPF”), il nuovo accordo sul trasferimento transoceanico dei dati personali dall’Unione Europea verso gli Stati Uniti. Con la pubblicazione dell’adequacy decision ai sensi dell’articolo 45 del Regolamento (UE) 2016/679, Bruxelles ha così riconosciuto la sussistenza di un adeguato livello di protezione dei dati personali dei cittadini europei trattati nel territorio USA.
Il DPF, che arriva dopo l’annullamento degli accordi precedenti da parte della Corte di Giustizia Europea (“Safe Harbour” e “Privacy Shield”) ed i cui contenuti sono già stati approfonditi in un nostro precedente articolo, introduce nuove garanzie per i trasferimenti di dati personali, limitando l’accesso ai dati di cittadini UE da parte dei servizi di intelligence statunitensi solo qualora ciò sia necessario e proporzionato, e istituendo un Tribunale di Revisione sulla Protezione dei Dati (Data Protection Review Court o “DPRC”), a cui i cittadini europei potranno rivolgersi per presentare reclami in ordine alla raccolta e all’uso dei loro dati personali in territorio USA.
Le aziende statunitensi che aderiranno al Data Privacy Framework dovranno rispettare elevati standard ed obblighi in materia di privacy tra cui, ad esempio, l’obbligo di cancellare i dati personali quando non sono più necessari per lo scopo per cui sono stati raccolti.
É previsto, infine, che la Commissione Europea effettui una revisione periodica del Data Privacy Framework: la prima avverrà entro il prossimo agosto, al fine di verificare che tutti gli elementi pertinenti siano stati effettivamente recepiti nel quadro giuridico statunitense e funzionino in maniera adeguata.
L’entrata in vigore del DPF rappresenta sicuramente una buona notizia per migliaia di aziende che per svolgere le loro attività devono effettuare trasferimenti di dati personali oltreoceano (si pensi ai servizi di Microsoft Office365, ad Amazon AWS, a Google); rappresenta altresì un’ottima notizia per le companies statunitensi, che non dovranno più preoccuparsi di offrire ulteriori garanzie quali, ad esempio, il mantenimento di server sul territorio europeo.
La decisione di adeguatezza, comunque, ha raccolto anche pareri sfavorevoli: già a maggio, infatti, il Parlamento Europeo aveva giudicato insufficienti le misure statunitensi previste dal DPF; anche l’avvocato e attivista Max Schrems, che guida l’associazione N.O.Y.B. - i cui reclami hanno portato la Corte di Giustizia dell’Unione Europea (“CGUE”) ad invalidare il Safe Harbour e il Privacy Shield -, si era espresso negativamente (come già evidenziato in questa nostra news) e ha rinnovato oggi tale giudizio sfavorevole.
Per Schrems, infatti, le tutele offerte dal Data Privacy Framework sono inadeguate per una serie di motivi:
- Le agenzie di intelligence statunitensi potranno continuare ad usare i dati personali dei cittadini europei quasi indisturbatamente, attribuendo al concetto di accesso “necessario e proporzionato” un significato piuttosto ampio, certamente differente da quello voluto dalla Corte di Giustizia.
- La DPRC non sarà totalmente indipendente e non avrà i necessari poteri per tutelare i dati personali dei cittadini dell’UE.
- I cittadini europei non riceveranno alcuna protezione costituzionale da parte degli Stati Uniti, poiché è rimasto immutato il Foreing intelligence surveillance act (c.d. “Fisa 702”), che assicura la protezione dei diritti costituzionali, incluso il diritto alla riservatezza, ai soli cittadini USA
N.O.Y.B. ha già comunicato di aver intenzione di proporre un nuovo ricorso dinanzi alla CGUE, contestando l’inefficienza e la non-innovatività del Data Privacy Framework.
Ad ogni modo, il DPF è oramai in vigore e lo scenario di riferimento per la protezione dei dati personali è mutato; è opportuno che imprese e professionisti, con il supporto di consulenti specializzati in materia di protezione dei dati personali, provvedano ad effettuare un assessment del proprio impianto privacy per valutare se le aziende statunitensi di cui si avvalgono (a qualunque titolo, dalla fornitura di software alla prestazione di servizi) abbiano effettivamente aderito al DPF.
Torna alle news