La Commissione europea ha adottato la decisione sull’adeguatezza del quadro normativo Ue-Usa in materia di privacy dei dati.
La decisione conclude che gli Stati Uniti garantiscono un livello di protezione adeguato – paragonabile a quello dell’Unione europea – per i dati personali trasferiti dall’Ue alle società statunitensi nell’ambito del nuovo quadro. Sulla base della nuova decisione di adeguatezza, i dati personali possono essere trasferiti in modo sicuro dall’UE alle aziende statunitensi che partecipano al Quadro, senza dover predisporre ulteriori garanzie per la protezione dei dati.
“Il nuovo quadro Ue-Usa sulla privacy dei dati garantirà flussi di dati sicuri per gli europei e porterà certezza giuridica alle aziende su entrambe le sponde dell’Atlantico – sottolinea la Presidente Ursula von der Leyen –. A seguito dell’accordo di principio che ho raggiunto con il Presidente Biden l’anno scorso, gli Stati Uniti hanno assunto impegni senza precedenti per istituire il nuovo quadro. Oggi compiamo un passo importante per garantire ai cittadini la sicurezza dei loro dati, per approfondire i legami economici tra l’Ue e gli Stati Uniti e per riaffermare al tempo stesso i nostri valori comuni. Questo dimostra che lavorando insieme possiamo affrontare le questioni più complesse”.
Via al Tribunale per il riesame
Il Quadro sulla privacy dei dati Ue-Usa introduce nuove garanzie vincolanti per rispondere a tutte le preoccupazioni sollevate dalla Corte di giustizia europea, tra cui la limitazione dell’accesso ai dati dell’Ue da parte dei servizi di intelligence statunitensi allo stretto necessario e proporzionato e l’istituzione di un Tribunale per il riesame della protezione dei dati (Dprc), a cui avranno accesso le persone dell’UE. Il nuovo quadro introduce miglioramenti significativi rispetto al meccanismo esistente nell’ambito del Privacy Shield. Ad esempio, se il Dprc scopre che i dati sono stati raccolti in violazione delle nuove garanzie, potrà ordinare la cancellazione dei dati. Le nuove salvaguardie nell’ambito dell’accesso governativo ai dati integreranno gli obblighi che le aziende statunitensi che importano dati dall’Ue dovranno sottoscrivere.
Gli obblighi per le aziende Usa
Le aziende statunitensi potranno aderire al Quadro sulla privacy dei dati UE-Usa impegnandosi a rispettare una serie dettagliata di obblighi in materia di privacy, ad esempio l’obbligo di cancellare i dati personali quando non sono più necessari per lo scopo per cui sono stati raccolti e di garantire la continuità della protezione quando i dati personali sono condivisi con terzi.
Il quadro normativo statunitense prevede una serie di salvaguardie per quanto riguarda l’accesso ai dati trasferiti nell’ambito del quadro normativo da parte delle autorità pubbliche statunitensi, in particolare per scopi di applicazione della legge penale e di sicurezza nazionale. L’accesso ai dati è limitato a quanto necessario e proporzionato per proteggere la sicurezza nazionale.
I diritti dei cittadini europei
I cittadini dell’Unione potranno usufruire di diverse vie di ricorso nel caso in cui i loro dati siano trattati in modo scorretto da aziende statunitensi. Tra queste figurano meccanismi indipendenti e gratuiti di risoluzione delle controversie e un collegio arbitrale.
I cittadini avranno accesso a un meccanismo di ricorso indipendente e imparziale per quanto riguarda la raccolta e l’utilizzo dei loro dati da parte delle agenzie di intelligence statunitensi, che comprende un tribunale di riesame della protezione dei dati (Dprc) di nuova creazione. La Corte indagherà in modo indipendente e risolverà i reclami, anche adottando misure correttive vincolanti.
Le garanzie messe in atto dagli Stati Uniti faciliteranno anche i flussi di dati transatlantici poiché si applicano anche quando i dati vengono trasferiti utilizzando altri strumenti, come le clausole contrattuali standard e le norme vincolanti d’impresa.
Revisioni periodiche
Il funzionamento del Quadro sulla privacy dei dati UE-Usa sarà soggetto a revisioni periodiche, che saranno effettuate dalla Commissione europea, insieme ai rappresentanti delle autorità europee di protezione dei dati e alle autorità statunitensi competenti.
Il primo esame avrà luogo entro un anno dall’entrata in vigore della decisione, al fine di verificare che tutti gli elementi pertinenti siano stati pienamente attuati nel quadro giuridico statunitense e funzionino efficacemente nella pratica.
Una vicenda lunga oltre un anno
Nel marzo 2022, la Presidente von der Leyen e il Presidente Biden annunciavano di aver raggiunto un accordo di principio su un nuovo quadro transatlantico per i flussi di dati, a seguito di negoziati tra il Commissario Reynders e il Segretario degli Stati Uniti Raimondo. Nell’ottobre 2022, il Presidente Biden ha firmato un ordine esecutivo sul “Rafforzamento delle salvaguardie per le attività di intelligence dei segnali degli Stati Uniti”, integrato da regolamenti emanati dal Procuratore generale degli Stati Uniti Garland. Insieme, questi due strumenti hanno recepito nel diritto statunitense gli impegni assunti dagli Stati Uniti nell’ambito dell’accordo di principio e hanno integrato gli obblighi delle imprese statunitensi nell’ambito del quadro normativo Ue-Usa sulla privacy dei dati.
Un elemento essenziale del quadro giuridico statunitense che sancisce queste salvaguardie è l’ordine esecutivo degli Stati Uniti “Enhancing Safeguards for United States Signals Intelligence Activities”, che risponde alle preoccupazioni sollevate dalla Corte di giustizia dell’Unione europea nella sua decisione Schrems II del luglio 2020.
