Accordo EU-USA per il trasferimento dei dati

La Commissione europea il 13 dicembre 2022 ha avviato un progetto per l’adozione di una decisione di adeguatezza sul quadro UE-USA per quello che concerne la privacy dei dati per il 2024.

Quando sarà adottato formalmente il piano proposto riconoscerà che gli Stati Uniti possono garantire un adeguato livello di protezione dei dati personali trasferiti dall’ UE verso le organizzazioni certificate ai sensi del DPF UE-USA.

Il progetto è stato nominato Data Privacy Framework ossia progetto di decisione di adeguatezza per il quadro sulla privacy dei dati (DPF) UE-USA.

La decisione di attuare questo piano arriva dopo mesi di lavoro, durante i quali si è lavorato per arrivare ad un accordo politico tra le parti. A ottobre presidente degli Stati Uniti Joe Biden ha firmato un ordine esecutivo (EO (Executive Order) 14086) per attuare un accordo, volto ad introdurre garanzie per i dati personali dei residenti dell’UE. I punti chiave sono stati due:

• ottenere la garanzia che le agenzie di intelligence statunitensi  avessero un accesso limitato ai dati provenienti dall’UE 
• Introdurre un meccanismo di ricorso indipendente.

L’ ordine esecutivo dà attuazione agli impegni assunti da parte degli Stati Uniti. Tra questi figurano:

• l’impegno a limitare l’accesso delle autorità statunitensi ai dati esportati dall’UE a quanto necessario e proporzionato ai sensi della legislazione sulla sorveglianza;
• fornire alle persone diritti di ricorso in relazione al modo in cui i loro dati sono trattati, indipendentemente dalla loro nazionalità;
• istituire un tribunale di riesame della protezione dei dati per determinare l’esito delle denunce.

Un ruolo centrare in tutta questa manovra è stato svolto dal GDPR. Le leggi europee che tutelano la privacy infatti si basano proprio sul fatto che i dati personali possano girare solo in contesti di totale rispetto della privacy. Per questo ha senso che la protezione di tali dati non si limiti solo ai Paesi che fanno parte della UE, ma devono essere garantiti anche fuori.

Il problema inizialmente venne sollevato perché negli USA non esiste una legge che protegge la privacy dei cittadini e le aziende che entrano in contattato con tali dati si trovano in una situazione di conflitto, dove le leggi sulla sorveglianza degli Stati Uniti sono in contrapposizione con le leggi sulla protezione dei dati dell’UE che richiedono la privacy.

Il progetto di decisione di adeguatezza, che rispecchia la valutazione della Commissione in base alla quale il quadro giuridico statunitense fornisce garanzie comparabili a quelle dell’UE, è stato ora pubblicato e trasmesso al Comitato europeo per la protezione dei dati, che fornirà il suo parere. Il progetto di decisione ha concluso che gli Stati Uniti garantiscono un livello adeguato di protezione dei dati personali trasferiti dall’UE alle imprese statunitensi.

Sul sito del Garante della privacy si trova riportato L’articolo 45 che dice:

La Commissione europea può stabilire, valutati gli elementi indicati nell’art. 45, par. 2 del Regolamento UE 2016/679 e sulla base di un procedimento che prevede il parere del Comitato europeo per la protezione dei dati, che il Paese terzo (ma anche un territorio o un settore specifico al suo interno) o l’organizzazione internazionale garantiscano un livello di protezione adeguato e che pertanto è possibile trasferirvi dati personali. Il Regolamento prevede un’attività di monitoraggio da parte della Commissione mediante riesame delle decisioni a cadenza periodica, almeno ogni quattro anni. Tale attività può concludersi con una modifica della decisione o in altre circostanze con la sospensione o persino con la sua revoca, (art. 45, paragrafi 3-5 del Regolamento UE 2016/679).

---