Framework UE-USA
Dopo la pronuncia della Corte di Giustizia dell’Unione Europea che annullava la decisione di adeguatezza del c.d. Privacy Shield – ritenendo che i controlli effettuati dal Governo USA non garantivano sufficienti tutele idonee ad assicurare il rispetto dei diritti previsti e riconosciuti dalla normativa UE in materia privacy e trattamento dati personali – la Commissione Europea e il Governo degli Stati Uniti hanno riaperto un tavolo di confronto culminato con la decisione di adeguatezza dello scorso 10 luglio 2023, il c.d. Framework UE-USA
Con essa la Commissione Europea sancisce che ad oggi gli Stati Uniti garantiscono un livello di protezione adeguato per i dati personali trasferiti dall’UE alle imprese statunitensi che operano all’interno del nuovo quadro di riferimento.
Preliminarmente si ritiene di fondamentale importanza sottolineare che la decisione in esame sarà oggetto di continui e periodici riesami effettuati dalla Commissione europea in collaborazione con i rappresentanti delle autorità di protezione dei dati e delle autorità statunitensi competenti. La Commissione ha infatti stabilito che il primo riesame sulla decisione di adeguatezza dovrà essere posto in essere entro un anno dalla sua entrata in vigore.
In attesa di aggiornamenti più approfonditi, possiamo indicare gli elementi fondamentali sui cui le parti in causa si sono concentrate maggiormente.
Anzitutto sono state previste nuove garanzie vincolanti per tutte le aziende statunitensi che aderiscono al nuovo quadro. In particolare, è stato stabilito:
- L’istituzione di un tribunale del riesame in materia di protezione che prenderà il nome di Data Protection Review Court (DPRC) che avrà il compito, tra gli altri, anche di ordinare la cancellazione dei dati che ritengo siano stati raccolti in violazione delle nuove garanzie. Il Tribunale, inoltre, indagherà e risolverà in modo indipendente i reclami proposti dagli interessati, compresa l’adozione di misure correttive vincolanti.
- L’accesso ai dati dell’UE da parte delle autorità pubbliche statunitensi è sottoposto a stringenti garanzie che ne limitano la consultazione a quanto necessario e proporzionato per proteggere la sicurezza nazionale.
Le imprese statunitensi che aderiranno al quadro dovranno inoltre rispettare ulteriori obblighi tra cui, a titolo semplificativo e non esaustivo:
- quello di cancellare i dati personali quando questi non sono più necessari per lo scopo per il quale sono stati raccolti;
- garantire la continuità della protezione quando i dati personali sono condivisi con terzi.
Restiamo così in attesa dei prossimi aggiornamenti da parte degli organi competenti dell’Unione Europea.