Il Comitato europeo per la protezione dei dati (Edpb) ha adottato una nota informativa (SCARICA QUI IL DOCUMENTO ORIGINALE) rivolta alle persone fisiche e alle organizzazioni che trasferiscono dati negli Stati Uniti. Il documento intende fornire indicazioni sintetiche e oggettive sull’impatto della recente decisione di adeguatezza della Commissione Ue relativa ai trasferimenti di dati personali negli Usa, sulle implicazioni Data Privacy Framework (Dpf) e sul nuovo meccanismo di ricorso in materia di sicurezza nazionale.
Tutele adeguate per i trasferimenti di dati non compresi nel Dpf
La nota chiarisce che i trasferimenti basati su decisioni di adeguatezza non devono essere integrati da misure supplementari, mentre i trasferimenti verso gli Stati Uniti non inclusi nell’elenco previsto dal Dpf richiedono tutele adeguate, come clausole tipo di protezione dei dati o norme vincolanti d’impresa. A questo proposito, l’Edpb sottolinea che tutte le garanzie messe in atto dal governo degli Stati Uniti nell’ambito della sicurezza nazionale, compreso il meccanismo di ricorso (redress) si applicano a tutti i dati trasferiti negli Stati Uniti, indipendentemente dallo strumento di trasferimento utilizzato.
La nota informativa specifica inoltre che nell’ambito della sicurezza nazionale, i cittadini dell’Ue, per avvalersi del nuovo meccanismo di ricorso, possono presentare un reclamo alla propria Autorità nazionale di protezione dati, indipendentemente dallo strumento utilizzato per trasferire i dati personali negli Stati Uniti.
I “confini” del Data Privacy Network
Con la decisione adottata il 10 luglio 2023, la Commissione europea ha stabilito che gli Stati Uniti garantiscono un livello adeguato di protezione dei dati personali trasferiti dall’Ue a quelle organizzazioni statunitensi incluse nella lista indicata dal Data Privacy Framework, che è gestita e pubblicata dal Dipartimento del commercio Usa. Va ricordato che lo scorso febbraio, il Comitato europeo per la protezione dei dati ha adottato il proprio parere sul progetto di decisione di adeguatezza della Commissione, con l’obiettivo di chiarire le implicazioni per gli interessati nell’Ue e per le organizzazioni che trasferiscono dati personali negli Stati Uniti.
Il primo riesame della decisione di adeguatezza, per verificare la piena attuazione ed efficacia di tutti gli elementi, è previsto il prossimo anno. A seguito del primo riesame, e in funzione del suo esito, la Commissione definirà la cadenza dei riesami successivi, dopo aver consultato Edpb e Stati membri. Il riesame dovrà comunque essere effettuato almeno ogni quattro anni.