Home

GDPR: la Commissione Europea approva il nuovo EU-US Data Privacy Framework per il trasferimento di dati personali tra Europa e Stati Uniti

La Redazione
La Redazione
28 Agosto 2023

Il 10 luglio 2023 la Commissione Europea ha emanato la decisione di adeguatezza C(2023) 4745 final, con la quale ha ammesso il trasferimento di dati personali tra Europa e USA attraverso il nuovo EU-US Data Privacy Framework. Sulla base di tale decisione, i dati personali potranno circolare in modo sicuro dall'Unione Europea verso le imprese statunitensi che partecipano al quadro UE-USA, senza la necessità di ulteriori garanzie per la protezione dei dati. L'accesso ai dati da parte delle imprese sarà limitato a quanto necessario e proporzionato per proteggere la sicurezza nazionale.

La decisione della Commissione arriva a tre anni dall'annullamento da parte della CGUE, il 16 luglio 2020, del c.d. EU-US Privacy Shield, un accordo che consentiva gli scambi transatlantici di dati personali a scopo commerciale tra Unione europea e Stati Uniti d'America, in conformità alle previsioni del Capo V del GDPR.

Ora, con la decisione C(2023) 4745 final adottata dalla Commissione Europea lo scorso 10 luglio 2023, il nuovo EU-US Data Privacy Framework sostituirà il precedente Privacy Shield e consentirà, a determinate condizioni, di effettuare il trasferimento di dati personali verso gli USA utilizzando servizi erogati dalle aziende americane.

Nella sua decisione, la Commissione ha concluso che gli Stati Uniti garantiscono un livello di protezione adeguato per i dati personali trasferiti dall'Unione Europea alle imprese statunitensi, valutando tutti i requisiti che derivano dal nuovo Framework e le garanzie che si applicano quando i dati personali trasferiti oltreoceano sono accessibili alle autorità di intelligence statunitensi.

Il quadro UE-USA per la protezione dei dati personali introduce nuove garanzie vincolanti che prevedono, in particolare, limitazioni dell'accesso ai dati da parte delle autorità pubbliche statunitensi a quanto necessario e proporzionato per proteggere la sicurezza nazionale; il rispetto delle limitazioni alle attività di sorveglianza attraverso una maggiore supervisione delle operazioni di intelligence americane; l'istituzione di un meccanismo di ricorso indipendente e imparziale, che comprende un nuovo tribunale del riesame (denominato Data Protection Review Court) per esaminare e risolvere, anche adottando misure correttive vincolanti, i reclami relativi all'accesso ai propri dati da parte delle autorità di sicurezza nazionali degli Stati Uniti d'America.

Ai fini dell'adesione al nuovo Data Privacy Framework, le imprese statunitensi dovranno impegnarsi a rispettare un insieme dettagliato di obblighi in materia di privacy, per esempio l'obbligo di cancellare i dati personali quando questi non sono più necessari per lo scopo per il quale sono stati raccolti e di garantire la continuità della protezione quando i dati personali sono condivisi con terzi.

Dall'altro lato, i cittadini europei avranno la possibilità di fare ricorso in caso di trattamento non corretto dei propri dati attraverso meccanismi indipendenti gratuiti di composizione delle controversie e un collegio arbitrale.