24.07.2023 Icon

Il trasferimento di dati EU – U.S.A.: il Privacy Shield 2.0

Il 10 luglio scorso la Commissione Europea ha approvato l’EU-USA Data Privacy Framework (DPF) definendo il nuovo quadro normativo per il trasferimento di dati personali negli USA.

L’accordo sul EU-USA DPF è stato raggiunto all’esito di un lungo iter nonché numerose vicende giudiziarie che hanno limitato il trasferimento dei dati personali oltreoceano. L’iter era da ultimo sfociato nella decisione Schrems II (Data Protection Commissioner vs Facebook Ireland Limited e Maximillian Schrems Causa C-311/18) in cui la Corte di Giustizia Europea aveva imposto uno stop al trasferimento di dati invalidando la decisione di adeguatezza del “Privacy Shield” adottata nel 2016 dalla Commissione europea.

Perché è stato invalidato il “Privacy Shield”?

Nel 2020 la CGUE aveva invalidato il “Privacy Shield” in quanto i criteri per il trasferimento dei dati personali tra l’UE e gli USA, valutati alla luce del GDPR, non garantivano l’adeguatezza della protezione offerta. Nello specifico, la Corte stabiliva che le normative degli Stati Uniti in materia di accesso e utilizzo da parte delle autorità statunitensi dei dati provenienti dall’UE presentavano delle forti limitazioni non-compliant con gli standard richiesti dal diritto dell’UE alla luce del principio di minimizzazione. 

Cosa prevede l’EU-USA Data Privacy Framework (DPF)?

Sulla base del DPF, per poter ricevere i dati le società statunitensi dovranno certificare la loro partecipazione al quadro sulla privacy dei dati UE-USA impegnandosi a rispettare una serie dettagliata di obblighi in materia di privacy. Questi includono, ad esempio principi di privacy come la limitazione delle finalità, la minimizzazione e la conservazione dei dati, obblighi specifici relativi alla sicurezza dei dati e alla condivisione dei dati con terze parti, nonché regole supplementari stabilite dal Dipartimento del Commercio americano.

Il Framework sarà gestito dal Dipartimento del Commercio degli Stati Uniti che elaborerà le richieste di certificazione e controllerà che le aziende partecipanti continuino a soddisfare i requisiti di certificazione. Il rispetto da parte delle aziende statunitensi degli obblighi previsti dal Quadro sulla privacy dei dati UE-USA sarà applicato dalla Federal Trade Commission statunitense.

Inoltre, il Framework fornisce alle persone dell’UE, i cui dati saranno trasferiti alle società negli Stati Uniti, diversi nuovi diritti come ottenere l’accesso ai propri dati o la correzione, la cancellazione di dati errati o trattati illegalmente.

Cosa pensiamo?

Con la nuova decisione di adeguatezza dovrebbero risolversi le problematiche sopra descritte consentendo di far ripartire in modo più semplice il trasferimento di dati negli USA.

Inoltre, verrebbero risolte le problematiche che impedivano di aver accesso ai servizi offerti dalle big tech aventi perlopiù sede oltreoceano.

Da quando è efficace il DPF?

La decisione di adeguatezza è efficace fin dalla sua adozione, avvenuta lo scorso 10 luglio 2023.

Il suo funzionamento sarà oggetto di revisione e verifica di adozione delle regole poste da parte della CGUE entro un anno dalla sua adozione. Non si esclude che ulteriori azioni legali avviate dinanzi alla CGUE portino all’invalidazione della nuova decisione di adeguatezza sul presupposto della non garantita equivalenza del livello di protezione di provenienza dei dati.

Autore Roberto Plebani

Trainee

Milano

r.plebani@lascalaw.com

Desideri approfondire il tema Privacy ?

Contattaci subito