Relazioni UE-USA: l’EDPB adotta la sua prima relazione nell’ambito del quadro UE-USA sulla privacy

Legal Tech Italy

Cos’è il Privacy Data Framework UE-USA

Il Privacy Data FrameworkUE-USA è un accordo tra l’Unione Europea e gli Stati Uniti d’America per facilitare il trasferimento di dati personali tra le due sponde dell’Atlantico.

Questo accordo sorge per rispondere concretamente alla necessità che i trasferimenti di dati garantiscano equivalenti standard di protezione tra i paesi mittenti e destinatari; l’obiettivo è quello di garantire un’adeguata protezione dei dati e dei diritti fondamentali degli individui, così come stabilito dalla legislazione europea, in particolare dal Regolamento generale sulla protezione dei dati (GDPR). Il Capo V del GDPR, infatti, stabilisce norme volte alla regolarizzazione dei trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali. 

La questione del trasferimento di dati tra le due regioni è diventata particolarmente rilevante dopo che la Corte di giustizia dell’Unione Europea ha annullato il Privacy Shield (un precedente accordo simile) nel 2020, sostenendo che non offriva sufficienti garanzie contro l’accesso non proporzionato da parte dei servizi di intelligence statunitensi. 

Successivamente, quindi, la Commissione europea ha annunciato ad agosto 2023 di aver ufficialmente approvato il nuovo quadro di riferimento per il trasferimento dei dati dall’UE verso gli USA. La nuova decisione di adeguatezza è stata pubblicata il 10 luglio 2023 e con essa l’Unione europea ha formalmente riconosciuto che gli Stati Uniti garantiscono un livello adeguato di protezione dei dati personali, equiparabile a quello dell’UE

Questa attestazione di conformità facilita notevolmente uno scambio di dati intercontinentale e la fruizione di servizi offerti da intermediari online di origine statunitense. Essa costituisce un importante passo in avanti per bilanciare da un lato la crescente necessità di un costante flusso di dati, e dall’altro la privacy, sempre più bisognosa di tutela. 

Caratteristiche principali del Privacy Data Framework UE-USAUE-USA

Uno dei principi cardine del Framework è la protezione della privacy e lo standard a cui le aziende statunitensi si devono adeguare; in particolare, le aziende che desiderano trattare dati personali di cittadini europei devono aderire al framework concordato, adottando politiche e pratiche che rispettino gli standard europei, in particolare quelli delineati nei principi fondamentali del trattamento dei dati (Articoli 5 e 6 del GDPR). Tra questi: liceità, correttezza e trasparenza. Le aziende devono trattare i dati in modo equo e trasparente nei confronti degli interessati, fornendo dettagliate informative da cui gli utenti possano evincere in modo chiaro e lineare le finalità per cui i dati sono processati. 

Questi ultimi devono essere raccolti per scopi specifici, espliciti e legittimi e non ulteriormente trattati in modo incompatibile con tali scopi. Questa appena profilata è la descrizione del principio di minimizzazione dei dati, secondo il quale solo i dati strettamente necessari possono essere raccolti e trattati.

Un secondo aspetto che ricopre notevole importanza riguarda la regolamentazione e conseguente limitazione dell’accesso governativo ai dati personali. Negli Stati Uniti, in passato, le autorità di sorveglianza sono state criticate per pratiche che violavano i diritti fondamentali degli individui, come evidenziato nella sentenza “Schrems II della Corte di Giustizia dell’Unione Europea. Questa preoccupazione, infatti, aveva fatto annullare il precedente Privacy Shield in quanto normativa carente nell’ambito dell’accesso governativo. 

Per affrontare questa mancanza, gli Stati Uniti hanno implementato misure per garantire che l’accesso ai dati sia limitato a quanto necessario e proporzionato, in linea con i principi di necessità e proporzionalità del GDPR (Articolo 5), insieme con meccanismi di supervisione e controllo indipendenti per ridurre i rischi di abuso, in conformità con l’Articolo 8 della Carta dei diritti fondamentali dell’UE, che garantisce il diritto alla protezione dei dati personali.

Inoltre, il framework prevede strumenti efficaci per affrontare i reclami degli interessati. I cittadini europei potranno presentare denunce relative al trattamento inadeguato dei loro dati da parte delle aziende statunitensi. 

Il primo strumento approntato consiste in un meccanismo di risoluzione delle controversie indipendente, conforme all’Articolo 77 del GDPR, che prevede il diritto di presentare reclami all’autorità di controllo competente.

In aggiunta è stata prevista l’istituzione di una Data Protection Review Court (Tribunale per la revisione della protezione dei dati), che offre una revisione indipendente delle attività di sorveglianza. Questo garantisce un livello di supervisione giudiziaria simile a quanto richiesto dall’Articolo 47 del GDPR, relativo al diritto a un ricorso effettivo. 

Le autorità di protezione dei dati dell’Unione, come le Autorità Nazionali di Protezione dei Dati (DPA), sono incaricate di monitorare l’applicazione del framework e di intervenire in caso di violazioni, come stabilito dall’Articolo 58 del GDPR. Questo articolo conferisce alle autorità poteri investigativi e correttivi, tra cui: l’emissione di avvertimenti e ammonimenti, l’imposizione di restrizioni temporanee o definitive sul trattamento dei dati e da ultimo, l’applicazione di sanzioni amministrative in conformità con l’Articolo 83 del GDPR

Il primo riesame del quadro UE-USA in materia di protezione dei dati

Il 5 novembre scorso, a Bruxelles, durante l’ultima sessione plenaria, il Comitato Europeo per la Protezione dei Dati (EDPB) ha adottato una relazione relativa al primo riesame del Data Privacy Framework (DPF) tra l’Unione Europea e gli Stati Uniti. La relazione evidenzia i progressi compiuti dalle autorità statunitensi e dalla Commissione Europea a seguito dell’adozione della decisione di adeguatezza nel luglio 2023. 

L’EDPB ha riconosciuto gli sforzi del Dipartimento del Commercio degli Stati Uniti nell’attuare il DPF, in particolare l’aggiornamento delle procedure operative e il coinvolgimento attivo con le aziende e la promozione di iniziative di sensibilizzazione.

Queste misure mirano a garantire che le imprese autocertificate rispettino i requisiti del quadro. È stato inoltre implementato un meccanismo di ricorso per i cittadini dell’UE, accompagnato dalla pubblicazione di orientamenti completi sulle modalità di gestione delle denunce su entrambe le sponde dell’Atlantico. 

Queste misure mirano a garantire che le imprese autocertificate rispettino i requisiti del quadro. È stato inoltre implementato un meccanismo di ricorso per i cittadini dell’UE, accompagnato dalla pubblicazione di orientamenti completi sulle modalità di gestione delle denunce su entrambe le sponde dell’Atlantico. 

Nonostante i progressi, l’EDPB ha rilevato un numero esiguo di denunce ricevute nell’ambito del DPF, sottolineando la necessità di rafforzare il monitoraggio della conformità da parte delle autorità statunitensi. Questo include una verifica più stringente della conformità delle aziende certificate ai principi fondamentali del DPF; l’elaborazione di orientamenti da parte delle autorità statunitensi per chiarire i requisiti applicabili alle imprese certificate, in particolare per il trasferimento di dati personali ricevuti dagli esportatori dell’UE; la pubblicazione di linee guida specifiche sui dati relativi alle risorse umane, un aspetto considerato cruciale.

Questo primo riesame evidenzia l’importanza di continuare a perfezionare il quadro, con l’obiettivo di rafforzare la fiducia reciproca e garantire un trasferimento sicuro e conforme dei dati personali tra UE e USA. Preservare la protezione e l’efficacia della cifratura è importante per evitare ripercussioni negative sul rispetto della vita privata e della riservatezza e per garantire che siano salvaguardate la libertà di espressione e la crescita economica, che dipendono da tecnologie affidabili. 

CORSO ACCREDITATO SU LEGAL TECH ACADEMY

Data Protection

Il termine Data Protection identifica quella serie di operazioni volte a preservare la sicurezza delle informazioni di un’organizzazione e dei suoi membri. Il corso permette di acquisire competenze su come tutelarsi contro fenomeni lesivi come la compromissione, la perdita o la diffusione illecita di dati personali e come intervenire in caso di incidenti.

SCOPRI IL CORSO SU LEGAL TECH ACADEMY

Hai un articolo nel cassetto? Legal Tech Magazine è sempre alla ricerca di nuove voci attraverso cui raccontare l’evoluzione del settore. Puoi sottoporci la tua proposta attraverso il seguente form: avremo cura di leggerla e di valutarne la pubblicazione.

SCRIVI PER NOI

Non solo un Magazine, ma anche una Mappa, un Forum, un Report e un’Academy. Se ti interessano i progetti di Legal Tech Italy e desideri ricevere aggiornamenti sulle sue iniziative presenti e future, iscriviti alla newsletter e non perderti nessuna novità.

SEGUICI