Data Privacy Framework “Privacy Shield 2.0”: adottata la decisione di adeguatezza per il flusso di dati dall’UE agli USA

Il 10 luglio 2023, la Commissione Europea ha adottato la tanto attesa decisione di adeguatezza del “Data Privacy Framework” che regolamenta il flusso dei dati personali dall’Unione Europea agli Stati Uniti d’America.

La decisione giunge alla conclusione che gli Stati Uniti garantiscono un livello di protezione dei dati adeguato, paragonabile a quello dell’Unione Europea. I dati personali ora possono circolare in modo sicuro dallo Spazio Economico Europeo verso le imprese statunitensi che aderiscono al Framework, senza la necessità di ulteriori garanzie.

Scopriamo insieme la portata di questo accordo.

Il Privacy Shield 2.0 in risposta alla bocciatura del precedente Privacy Framework

Il nuovo Framework, denominato “Privacy Shield 2.0“, è stato progettato per soddisfare le preoccupazioni della Corte di giustizia dell’Unione Europea, che aveva invalidato nel giugno 2020 il precedente framework, il Privacy Shield, a cui è seguita una fase di incertezza normativa.

Fase questa che ha visto diverse Autorità di controllo europee emettere provvedimenti: basti pensare in Italia al provvedimento del giugno del 2022 con cui il Garante ha affermato che il sito web che utilizza il servizio Google Analytics, senza le garanzie previste dal GDPR viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.

Impegni e obblighi per le imprese USA

Entrando nel merito dei contenuti, le aziende statunitensi che vorranno aderire al quadro UE-USA dovranno impegnarsi a rispettare una serie di obblighi, tra cui la cancellazione dei dati quando non sono più necessari per lo scopo per il quale sono stati raccolti e la garanzia di una tutela continuativa in caso di loro trasmissione a terzi.

Viene anche introdotto un nuovo piano di garanzie vincolanti, tra cui la limitazione dell’accesso ai dati dell’UE da parte da parte dei servizi di intelligence statunitensi a quanto necessario e proporzionato per proteggere la sicurezza nazionale.

Istituzione del Tribunale per il riesame della Protezione dei Dati

Inoltre, viene istituito il Tribunale per il riesame della Protezione dei Dati (Data Protection Review Court, DPRC), a cui potranno rivolgersi i cittadini europei in caso di trattamento scorretto dei loro dati da parte delle imprese e delle agenzie di intelligence statunitensi, al fine di ottenere misure correttive vincolanti.

Il Data Privacy Framework sarà soggetto a revisioni periodiche da parte della Commissione Europea, assieme alle autorità di controllo europee e alle autorità statunitensi competenti. La prima revisione sarà effettuata entro luglio 2024 e avrà l’obiettivo di verificare che tutti gli elementi pertinenti siano stati pienamente attuati nel quadro giuridico statunitense e funzionino efficacemente nella pratica.

NOYB annuncia battaglia contro il Privacy Shield 2.0

Il Framework prevede garanzie maggiori rispetto a quanto era stabilito nel Privacy Shield invalidato dalla Corte di Giustizia, con determinati obblighi in capo alle aziende statunitensi.

Tuttavia, vi è chi nutre delle perplessità e la stessa NOYB, l’organizzazione fondata dall’attivista Max Schrems ha già annunciato sul proprio sito di voler presentare ricorso. Si ricorda che Schmers è noto per le due sentenze della suprema Corte europea che avevano già invalidato i due precedenti accordi disciplinanti il trasferimento dei dati verso gli Usa, ovvero il Safe Harbor prima e il Privacy Shield poi.

Grazie al suo servizio DPO as a Service, Axitea è in grado di seguire le aziende nel percorso di GPDR compliance, per informare e assistere all’occorrenza i responsabili del trattamento nella gestione dei dati personali.