L’Europa torna a lavorare sul quadro di tutele per i dati digitali europei che finiscono negli Stati Uniti. Dopo l’annullamento del Privacy shield, la Commissione Ue ha avviato il processo formale che porterà alla definitiva adozione di una decisione di adeguatezza per il trasferimento dei dati tra l’Ue e gli Usa. Il nuovo Data privacy framework, si legge nella nota di Bruxelles, promuoverà flussi di dati transatlantici sicuri e affronterà le preoccupazioni sollevate dalla Corte di giustizia dell’Unione europea nella sua decisione Schrems II del luglio 2020.
La Commissione, valutato il quadro giuridico americano, ha concluso che gli Stati Uniti garantiscono un livello adeguato di protezione dei dati personali trasferiti dall’Ue alle società statunitensi.
Più tutele per i dati Ue
Le aziende statunitensi potranno aderire all’Ue-Usa Data privacy framework impegnandosi a rispettare una serie dettagliata di obblighi in materia di privacy, ad esempio l’obbligo di eliminare i dati personali quando non sono più necessari per lo scopo per il quale sono stati raccolti e di garantire la continuità della protezione quando i dati personali sono condivisi con terzi.
I cittadini dell’Ue beneficeranno di diverse vie di ricorso se i loro dati personali sono trattati in violazione del quadro, anche gratuitamente davanti a meccanismi indipendenti di risoluzione delle controversie e a un collegio arbitrale.
Inoltre, il quadro giuridico statunitense prevede una serie di limitazioni e garanzie per quanto riguarda l’accesso ai dati da parte delle autorità pubbliche statunitensi, in particolare ai fini dell’applicazione della legge penale e della sicurezza nazionale.
Paletti all’intelligence Usa
La bozza di decisione di adeguatezza della Commissione fa seguito alla firma da parte del presidente Usa Joe Biden di un ordine esecutivo che introduce una serie di salvaguardie per i dati personali di cittadini e imprese dell’Ue. All’ordine esecutivo hanno fatto seguito le norme emesse dal Procuratore generale degli Stati Uniti Merrick Garland. I due strumenti hanno implementato nella legge Usa l’accordo di principio annunciato dalla presidente della Commissione europea Ursula von der Leyen e da Biden lo scorso mese di marzo.
Il nuovo Usa-Ue Data privacy framework include le nuove regole introdotte dall’ordine esecutivo degli Stati Uniti, che affrontava le questioni sollevate dalla Corte di giustizia dell’Ue nella sentenza Schrems II. Di conseguenza, l’accesso ai dati europei da parte delle agenzie di intelligence statunitensi sarà limitato a quanto necessario e proporzionato per proteggere la sicurezza nazionale; gli individui dell’Ue avranno la possibilità di ottenere un risarcimento per quanto riguarda la raccolta e l’uso dei loro dati da parte delle agenzie di intelligence statunitensi dinanzi a un meccanismo di ricorso indipendente e imparziale, che include un nuovo tribunale di revisione della protezione dei dati. La Corte indagherà e risolverà in modo indipendente le denunce degli europei, anche adottando misure correttive vincolanti; le imprese europee potranno fare affidamento su queste garanzie per i trasferimenti transatlantici di dati, anche quando utilizzano altri meccanismi di trasferimento, come le clausole contrattuali standard e le norme vincolanti sulle società.
L’adozione del Data privacy framework
Il progetto di decisione di adeguatezza, che riflette la valutazione da parte della Commissione del quadro giuridico statunitense e la conclusione che tale quadro fornisce garanzie comparabili a quelle dell’Ue, è stato pubblicato e trasmesso al Comitato europeo per la protezione dei dati (Edpb) per il suo parere.
Successivamente la Commissione chiederà l’approvazione di un comitato composto da rappresentanti degli Stati membri dell’Ue. Inoltre, il Parlamento europeo ha il diritto di controllare le decisioni di adeguatezza. Una volta completata questa procedura, la Commissione può procedere all’adozione della decisione finale di adeguatezza.