La Commissione Europea approva la decisione di adeguatezza sul “EU-US Data Privacy Framework”

Il 10 luglio 2023 la Commissione Europea ha annunciato l'adozione della decisione di adeguatezza relativa al “EU-US Data Privacy Framework”. Essa assume grande importanza in quanto, dopo quasi tre anni, rende nuovamente possibile il trasferimento di dati personali verso gli USA.

La nuova decisione di adeguatezza, adottata ai sensi dell'art. 45 GDPR, certifica che il trasferimento di dati personali da parte di soggetti (sia titolari sia responsabili) collocati all'interno dell'Unione Europea e verso aziende certificate al Framework e con sede negli USA, può avvenire in assenza di autorizzazioni aggiuntive.

Nonostante la decisione sia immediatamente esecutiva, per rendere lecito il trasferimento sarà necessario attendere che le aziende statunitensi inizino ad ottenere la relativa certificazione e che siano collocate in un'apposita lista pubblica, denominata Data Privacy Framework List (o semplicemente “DPF List”).

Le aziende dovranno essere conformi alle regole dettate dal framework e relative alla protezione dei dati personali dei cittadini europei come, ad esempio, il rispetto dei principi di limitazione delle finalità e minimizzazione.

Questo nuovo provvedimento sostituisce quindi in modo definitivo il precedente Privacy Shield, la cui illiceità era stata sancita dalla Corte di Giustizia Europea nella nota sentenza Schrems II. In quell'occasione, la Corte aveva osservato come le normative presenti negli Statuti Uniti concedessero alle agenzie governative locali l'accesso ai dati personali conservati da aziende locali in assenza di garanzie sufficienti.

In questo senso, secondo quanto dichiarato dalla Commissione, maggiori salvaguardie per i diritti dei cittadini contro l'ingerenza del potere esecutivo sarebbero garantite dall'Executive Order del Presidente degli Stati Uniti intitolato ‘Enhancing Safeguards for United States Signals Intelligence Activities'.

Questo atto, in particolare, limita l'accesso ai dati da parte delle autorità di intelligence a quanto “necessario e proporzionato” per proteggere la sicurezza nazionale e istituisce appositi meccanismi di rimedio.

La decisione della Commissione sembra non convincere alcune associazioni della società civile e, in particolare, None Of Your Business (anche nota come “NOYB”) che combatte da molti anni una battaglia contro le politiche sui dati USA.

L'associazione ha dichiarato che il Framework non è sufficiente a superare i problemi rilevati dalla Corte di Giustizia e la presentazione di un nuovo ricorso sembra possibile. In prospettiva, potrebbe trattarsi della terza decisione contraria agli accordi per il trasferimento negli Stati Uniti, con pesanti conseguenze sia dal punto di vista politico, sia dal punto di vista geopolitico.