La Commissione Europea, dopo 3 anni, ha finalmente adottato la decisione di adeguatezza per l’EU-US Data Privacy Framework. La valutazione è stata fatta in seguito alle modifiche introdotte dalla EO 14086. Le garanzie vincolanti introdotte da questa legge rispondono a tutte le preoccupazioni sollevate precedentemente nella sentenza Schrems II della Corte di Giustizia.
È stato ritenuto, in effetti, che le misure assicurerebbero un adeguato livello di protezione, paragonabile a quello dell’Unione Europea; pertanto, i dati personali possono fluire in sicurezza dall'UE alle società statunitensi che partecipano al quadro, senza dover mettere in atto ulteriori salvaguardie per la protezione dei dati.
Il 3 luglio 2023, nondimeno, la comunità di intelligence degli Stati Uniti ha adottato varie politiche e procedure che riguardano diverse agenzie statunitensi come la Central Intelligence Agency, il Federal Bureau Of Investigation, la National Security Agency e il Department of Homeland Security
I cittadini dell'UE potranno fare ricorso per quanto riguarda la raccolta e l'utilizzo dei loro dati da parte delle agenzie di intelligence statunitensi, nonché al costituendo tribunale per il riesame della protezione dei dati (DPRC). Il Tribunale indagherà e risolverà autonomamente i ricorsi, anche adottando misure correttive vincolanti.
Le salvaguardie messe in atto dagli Stati Uniti faciliteranno i flussi di dati transatlantici, anche quando i dati vengono trasferiti utilizzando strumenti diversi come clausole contrattuali standard e norme vincolanti d'impresa.
Il funzionamento del Data Privacy Framework UE-USA sarà soggetto a revisioni periodiche, che saranno effettuate dalla Commissione europea, insieme ai rappresentanti delle autorità europee per la protezione dei dati e alle autorità statunitensi competenti.
Il primo riesame avrà luogo entro un anno dall'entrata in vigore della decisione di adeguatezza, al fine di verificare che tutti gli elementi pertinenti siano stati pienamente recepiti nel quadro giuridico statunitense e funzionino efficacemente nella pratica.
Le organizzazioni Usa che importano dati personali dall’Ue e vogliono utilizzare il Data privacy framework devono autocertificare la loro adesione ai principi di questo (in realtà già stabiliti nel quadro del Privacy Shield ed ora implementati), ossia l’informativa; scelta/opt-out; responsabilità (accountability); sicurezza; integrità dei dati e limitazione delle finalità; accesso degli interessati; ricorso per le persone interessate; procedure di follow-up per verificare la veridicità delle attestazioni; l’obbligo di porre rimedio ai problemi derivanti dal mancato rispetto dei Principi Data Privacy Framework.
Il sito web a cui accedere per certificarsi è fornito dal Dipartimento del Commercio degli Stati Uniti, accessibile all’indirizzo https://www.dataprivacyframework.gov/s/
Gli esportatori di dati con sede nell’UE possono appurare direttamente se un importatore di dati statunitense beneficia delle protezioni previste del nuovo quadro mediante l’elenco predisposto sul sito del Data Privacy Framework.
Nicolò Ghibellini
Margherita Barletta