Oggi la Commissione Europea ha adottato la decisione di adeguatezza per l’EU-US Data Privacy Framework. Si chiude così, almeno temporaneamente, una situazione di incertezza giuridica che si protraeva da tre anni, pesando su pubbliche amministrazioni e aziende utilizzatrici di servizi digitali USA.
Indice degli argomenti
Cosa è la decisione di adeguatezza per l’EU-US Data Privacy Framework
Questa decisione afferma che gli Stati Uniti garantiscono un adeguato livello di protezione – paragonabile a quello dell’Unione Europea – per i dati personali trasferiti dall’UE alle aziende statunitensi nell’ambito del nuovo quadro. Sulla base di questa nuova decisione di adeguatezza, i dati personali possono fluire in sicurezza dall’UE alle aziende americane che partecipano al Framework, senza la necessità di adottare ulteriori garanzie per la protezione dei dati.
Novità del Framework UE-USA sulla privacy dei dati
Il Framework UE-USA sulla privacy dei dati introduce nuove salvaguardie vincolanti per affrontare tutte le preoccupazioni sollevate dalla Corte di Giustizia Europea, limitando l’accesso ai dati dell’UE da parte dei servizi di intelligence statunitensi a ciò che è necessario e proporzionato, e istituendo un Tribunale di Revisione sulla Protezione dei Dati (Data Protection Review Court, DPRC), a cui gli individui dell’UE avranno accesso. Il nuovo quadro introduce significativi miglioramenti rispetto al meccanismo esistente sotto il Privacy Shield. Ad esempio, se il DPRC constata che i dati sono stati raccolti in violazione delle nuove salvaguardie, potrà ordinare l’eliminazione dei dati. Le nuove salvaguardie nel settore dell’accesso ai dati da parte del governo completeranno gli obblighi a cui le aziende statunitensi che importano dati dall’UE dovranno sottoscriversi.
Le parole del Presidente Ursula von der Leyen
La presidente della Commissione ue Ursula von der Leyen ha dichiarato: “Il nuovo EU-U.S. Data Privacy Framework garantirà flussi di dati sicuri per gli europei e porterà certezza giuridica alle aziende su entrambe le sponde dell’Atlantico. A seguito dell’accordo di principio che ho raggiunto con il presidente Biden lo scorso anno, gli Stati Uniti hanno attuato impegni senza precedenti per stabilire il nuovo quadro. Oggi facciamo un passo importante per fornire fiducia ai cittadini che i loro dati sono al sicuro, per approfondire i nostri legami economici tra l’UE e gli Stati Uniti e allo stesso tempo per riaffermare i nostri valori condivisi. Dimostra che lavorando insieme possiamo affrontare le questioni più complesse.”
Impegno delle aziende statunitensi
Le aziende statunitensi potranno aderire all’EU-U.S. Data Privacy Framework impegnandosi a rispettare un dettagliato insieme di obblighi in materia di privacy, ad esempio l’obbligo di cancellare i dati personali quando non sono più necessari per lo scopo per cui sono stati raccolti, e di garantire la continuità della protezione quando i dati personali vengono condivisi con terze parti.
Benefici per gli individui dell’UE
Gli individui dell’UE beneficeranno di diverse vie di ricorso nel caso in cui i loro dati vengano gestiti in modo errato dalle aziende statunitensi. Questo include meccanismi di risoluzione delle controversie indipendenti gratuiti e un panel di arbitrato.
Salvaguardie legali statunitensi
Inoltre, il quadro legale statunitense prevede una serie di salvaguardie riguardanti l’accesso ai dati trasferiti nell’ambito del quadro da parte delle autorità pubbliche statunitensi, in particolare per scopi di applicazione della legge penale e di sicurezza nazionale. L’accesso ai dati è limitato a ciò che è necessario e proporzionato per proteggere la sicurezza nazionale.
Accesso al meccanismo di ricorso
Gli individui dell’UE avranno accesso a un meccanismo di ricorso indipendente e imparziale riguardante la raccolta e l’uso dei loro dati da parte delle agenzie di intelligence statunitensi, che include un appena creato Tribunale di Revisione sulla Protezione dei Dati (DPRC). Il Tribunale indagherà e risolverà in modo indipendente i reclami, compresa l’adozione di misure correttive vincolanti.
Facilitazione dei flussi di dati transatlantici
Le salvaguardie messe in atto dagli Stati Uniti faciliteranno anche in generale i flussi di dati transatlantici, poiché si applicano anche quando i dati vengono trasferiti utilizzando altri strumenti, come le clausole contrattuali standard e le regole aziendali vincolanti.
Lisi: “Attenzione, è un successo solo in parte”
Non poteva non arrivare questa decisione che ha un sapore senz’altro politico, ma almeno arginerà l’incertezza che ha caratterizzato gli ultimi mesi dove -come sappiamo- PA italiane sono state subissate di richieste automatizzate di eliminazione di qualsiasi servizio che teoricamente potesse comportare un trasferimento dati verso gli USA, sulla base delle normative FISA e Cloud Act. Incertezze gravavano anche sulle aziende per analoghi motivi.
Il problema è: cosa succederà adesso?
La decisione non è esente da problematiche legate a dettagli non superabili che riguardano la normativa USA e che potranno essere risolti solo dagli USA. E occorre verificare se la volontà reale c’è e con quali tempistiche. Inoltre, il rischio è che tutto lo spam subito in questi mesi provochi nelle PA una visione verso la protezione dei dati personali di pericoloso rigetto. Non vorrei che tutto il pensiero (correttamente) critico verso soluzioni extra UE venga cancellato del tutto da una decisione, pur utile, ma non risolutiva.
L’unico modo per tutelare i diritti fondamentali dei cittadini europei è informarli, formarli, rendendoli consapevoli, quindi alleati di certe politiche corrette.
Andrea Lisi
L’attivismo di MonitoraPA non “fa danni”, ma mira a proteggere la PA e i cittadini: ecco come
Adeguatezza per l’EU-US Data Privacy Framework: prossime mosse
Il funzionamento dell’EU-U.S. Data Privacy Framework sarà soggetto a revisioni periodiche, da effettuarsi dalla Commissione Europea, insieme ai rappresentanti delle autorità europee per la protezione dei dati e le competenti autorità statunitensi.
La prima revisione avrà luogo entro un anno dall’entrata in vigore della decisione di adeguatezza, al fine di verificare che tutti gli elementi rilevanti siano stati pienamente implementati nel quadro giuridico statunitense e stiano funzionando efficacemente nella pratica.
Come siamo arrivati a questo punto
L’articolo 45(3) del Regolamento Generale sulla Protezione dei Dati (GDPR) conferisce alla Commissione il potere di decidere, mediante un atto di esecuzione, che un paese non appartenente all’UE garantisce ‘un adeguato livello di protezione’ – un livello di protezione dei dati personali che è sostanzialmente equivalente al livello di protezione all’interno dell’UE. L’effetto delle decisioni di adeguatezza è che i dati personali possono fluire liberamente dall’UE (e da Norvegia, Liechtenstein e Islanda) a un terzo paese senza ulteriori ostacoli.
Dopo l’invalidazione della precedente decisione di adeguatezza sul Privacy Shield UE-USA da parte della Corte di Giustizia dell’UE, la Commissione Europea e il governo statunitense hanno avviato discussioni su un nuovo quadro che affrontasse le questioni sollevate dalla Corte.
Nel marzo 2022, la Presidente von der Leyen e il Presidente Biden hanno annunciato di aver raggiunto un accordo di principio su un nuovo quadro per i flussi di dati transatlantici, a seguito di negoziati tra il Commissario Reynders e il Segretario statunitense Raimondo. Nel ottobre 2022, il Presidente Biden ha firmato un Ordine Esecutivo su ‘Miglioramento delle Salvaguardie per le Attività di Intelligence dei Segnali degli Stati Uniti’, che è stato completato da regolamenti emessi dal Procuratore Generale degli Stati Uniti Garland. Insieme, questi due strumenti hanno attuato gli impegni statunitensi raggiunti nell’ambito dell’accordo di principio nel diritto statunitense, e hanno completato gli obblighi per le aziende statunitensi nell’ambito dell’EU-U.S. Data Privacy Framework.
Un elemento essenziale del quadro giuridico statunitense che consacra queste salvaguardie è l’Ordine Esecutivo statunitense su ‘Miglioramento delle Salvaguardie per le Attività di Intelligence dei Segnali degli Stati Uniti’, che affronta le preoccupazioni sollevate dalla Corte di Giustizia dell’Unione Europea nella sua decisione Schrems II del luglio 2020.
Il Framework è amministrato e monitorato dal Dipartimento del Commercio statunitense. La Federal Trade Commission statunitense farà rispettare la conformità delle aziende statunitensi.
Il 10 luglio, la Commissione Europea ha adottato la sua decisione di adeguatezza per l’EU-U.S. Data Privacy Framework. La decisione di adeguatezza conclude che gli Stati Uniti garantiscono un adeguato livello di protezione – paragonabile a quello dell’UE – per i dati personali trasferiti dall’UE alle aziende statunitensi che partecipano all’EU-U.S. Data Privacy Framework.
La decisione di adeguatezza segue la firma da parte degli Stati Uniti di un Ordine Esecutivo su ‘Miglioramento delle Salvaguardie per le Attività di Intelligence dei Segnali degli Stati Uniti’, che ha introdotto nuove salvaguardie vincolanti per affrontare i punti sollevati dalla Corte di Giustizia dell’Unione Europea nella sua decisione Schrems II del luglio 2020. In particolare, i nuovi obblighi erano orientati a garantire che i dati possano essere accessibili dalle agenzie di intelligence statunitensi solo nella misura in cui è necessario e proporzionato, e a istituire un meccanismo di ricorso indipendente e imparziale per gestire e risolvere i reclami degli europei riguardanti la raccolta dei loro dati per scopi di sicurezza nazionale.
