Dopo l’adozione del Data Privacy Framework da parte della Commissione europea, arriva il via libera anche dell’EDPB sulle nuove regole per il trasferimento sicuro UE-USA dei dati personali dei cittadini europei verso le aziende che operano Oltreoceano.
Durante la sua ultima plenaria, infatti, lo European Data Protection Board (EDPB) ha adottato una nota informativa rivolta a individui ed entità che trasferiscono dati negli Stati Uniti.
Data Privacy Framework: nuove garanzie per i trasferimenti UE-USA, ma anche tanti dubbi. Cosa cambia
Indice degli argomenti
Data Privacy Framework: la nota dell’EDPB
Tale nota mira a fornire informazioni concise e obiettive riguardanti l’impatto della decisione di adeguatezza del DPF sui trasferimenti di dati verso gli Stati Uniti, i mezzi di ricorso disponibili ai sensi del DPF e il nuovo meccanismo di ricorso riguardante la sicurezza nazionale.
La Presidente dell’EDPB, Anu Talus, ha sottolineato l’importanza dell’adozione del DPF da parte della Commissione Europea, riconoscendo la facilitazione dei flussi di dati sicuri dall’EEA agli Stati Uniti senza ulteriori condizioni.
La nota informativa ha lo scopo di informare gli individui sui loro diritti di protezione dei dati e le organizzazioni sulle loro obbligazioni ai sensi del nuovo quadro normativo sulla privacy.
Di fatto, la nota informativa chiarisce che i trasferimenti basati su decisioni di adeguatezza, come il DPF, non richiedono misure supplementari per garantire la protezione dei dati durante il trasferimento.
Tuttavia, precisa l’EDPB, i trasferimenti di dati verso gli Stati Uniti che non sono coperti dall’elenco del Data Privacy Framework richiedono l’adozione di misure di sicurezza adeguate, come le clausole standard di protezione dei dati o le regole aziendali vincolanti.
Inoltre, la nota specifica che nell’ambito della sicurezza nazionale, gli individui dell’UE possono presentare reclami alla loro autorità nazionale di protezione dei dati (DPA) per utilizzare il nuovo meccanismo di ricorso, indipendentemente dal mezzo di trasferimento utilizzato per trasferire i dati personali negli Stati Uniti.
Infine, la nota sottolinea anche che tutte le misure di sicurezza adottate dal Governo degli Stati Uniti nell’ambito della sicurezza nazionale, compreso il meccanismo di ricorso, si applicano a tutti i dati trasferiti agli Stati Uniti, indipendentemente dal mezzo di trasferimento utilizzato.
I passaggi per l’adozione del Data Privacy Framework
È importante sottolineare che l’Unione Europea (UE) ha fatto un significativo passo avanti nel rafforzamento della protezione dei dati e della privacy nei trasferimenti transatlantici dei dati con l’adozione del Data Privacy Framework UE-USA (DPF).
Questo nuovo quadro normativo sulla privacy, approvato dalla Commissione Europea il 10 luglio 2023, consente il flusso di dati personali dall’Area Economica Europea (EEA) alle aziende certificate DPF negli Stati Uniti senza necessità di ulteriori misure di sicurezza, come le regole aziendali vincolanti o le clausole contrattuali standard.
Questo risultato è stato ottenuto dopo un rigoroso processo di negoziazione tra l’amministrazione Biden e la Commissione Europea, in risposta alle storiche sentenze della Corte di Giustizia Europea Schrems I e Schrems II, che hanno invalidato i precedenti quadri di trasferimento dei dati.
La sentenza Schrems II, in particolare, ha sollevato preoccupazioni sulla protezione dei dati personali degli individui dell’UE dall’intercettazione da parte delle autorità di intelligence degli Stati Uniti.
Le criticità che il Data Privacy Framework prova a superare
In risposta, gli Stati Uniti hanno adottato misure significative, tra cui l’emissione del Decreto Esecutivo 14086, per affrontare queste preoccupazioni e preparare la strada per l’approvazione del DPF da parte dei paesi membri dell’UE.
Il DPF si basa sulle fondamenta dei suoi predecessori, incorporando principi come limiti di scopo, requisiti di conservazione dei dati, minimizzazione dei dati, sicurezza dei dati e accuratezza dei dati.
Tuttavia, il quadro va oltre nel trattare le preoccupazioni sollevate dalla Corte di Giustizia Europea nelle sentenze Schrems I e II.
Introduce misure di protezione dei dati migliorate, con un particolare focus sul limitare l’accesso dei servizi di intelligence degli Stati Uniti ai dati personali dell’UE solo a ciò che è strettamente necessario e proporzionato.
Per gli individui dell’UE, il DPF introduce la Corte di Revisione per la Protezione dei Dati, un organismo cruciale progettato per affrontare e risolvere le lamentele riguardanti le attività di intelligence degli Stati Uniti che incidono sui loro dati.
La Commissione Europea effettuerà periodicamente una revisione del DPF in collaborazione con i rappresentanti delle Autorità di protezione dei dati europee e delle autorità statunitensi pertinenti.
La prima revisione, prevista per il 2024, mira a garantire l’efficace e completa implementazione delle disposizioni del DPF.
Il tema della reciprocità nel trasferimento dati extra UE
Ritornando sul tema della reciprocità, tornato in primo piano in seguito all’adozione del Data Privacy Framework da parte della Commissione europea, giova ricordare che forse il primo passo è stata la decisione di adeguatezza reciproca raggiunta dall’UE con il Giappone.
La revisione ha valutato gli aspetti commerciali della decisione di adeguatezza giapponese, evidenziando aree di convergenza con il Regolamento Generale sulla Protezione dei Dati (GDPR) dell’UE.
Tra le modifiche significative al quadro giuridico giapponese vi è l’estensione del diritto di opporsi al trattamento, il rafforzamento dell’obbligo di notificare le violazioni dei dati all’autorità giapponese per la protezione dei dati e agli individui, e l’espansione del campo di applicazione della Legge Giapponese sulla Protezione delle Informazioni Personali (APPI) per includere dati non destinati a essere cancellati entro sei mesi.
L’EDPB accoglie con favore la proposta della Commissione Europea di passare a un ciclo di revisione quadriennale per la decisione di adeguatezza del Giappone.
Nonostante l’apprezzamento per la valutazione, l’EDPB evidenzia aree che richiedono una sorveglianza più stretta, in particolare riguardo al trattamento di informazioni personali “pseudonimizzate” nella legge giapponese e l’uso del consenso in situazioni di squilibrio di potere.
Le sfide ancora da affrontare
Nonostante la decisione di adeguatezza della Commissione Europea, ci sono sfide in vista.
L’organizzazione di difesa della privacy NOYB ha dichiarato pubblicamente la sua intenzione di impugnare la decisione del DPF, sostenendo che riproduce semplicemente le carenze del Privacy Shield e non affronta questioni fondamentali relative alla sorveglianza.
Mentre le imprese si confrontano con questa incertezza, alcune potrebbero scegliere di certificarsi in conformità al DPF, sfruttando il processo di certificazione per ridurre gli oneri di conformità e contrattuali durante l’appello imminente.
Il Data Privacy Framework UE-USA rappresenta uno sviluppo cruciale nella legislazione sulla protezione dei dati e sulla privacy, aprendo la strada a flussi di dati più sicuri tra l’UE e gli Stati Uniti.
Mentre le imprese e le organizzazioni si preparano a potenziali sfide, il DPF offre l’opportunità di rafforzare le pratiche di protezione dei dati, promuovere la fiducia tra i cittadini e promuovere valori condivisi tra l’UE e gli Stati Uniti.
Mentre andiamo avanti, la conformità alle disposizioni del DPF sarà fondamentale per garantire la protezione dei diritti di privacy delle persone in un mondo sempre più digitale.
