Data Privacy Framework: l’accordo UE-USA per il trattamento dei dati

Scritto da Webristle

Lug 12, 2023

Luglio 12, 2023

Nella giornata del 10 luglio 2023 la Commissione Europea ha stabilito l’adeguatezza del EU-US Data Privacy Framework, chiudendo in questo modo un periodo di incertezza che durava da anni e che metteva tutte quelle aziende e pubbliche amministrazioni che utilizzavano servizi digitali made in USA in una situazione di tensione e instabilità. Ma possiamo considerare questo accordo come una mossa risolutiva?

Cosa è successo prima del Data Privacy Framework?

L’articolo 45(3) del Regolamento Generale sulla Protezione dei Dati (GDPR) concede alla Commissione il potere di determinare, tramite un provvedimento esecutivo, che un paese esterno all’Unione Europea garantisce un “livello adeguato di tutela” dei dati personali, sostanzialmente equivalente a quello presente all’interno dell’UE. Le decisioni di adeguatezza permettono ai dati personali di fluire liberamente dall’UE (inclusa Norvegia, Liechtenstein e Islanda) a un paese terzo senza ulteriori ostacoli.

Dopo l’annullamento della precedente decisione di adeguatezza riguardante il Privacy Shield UE-USA da parte della Corte di Giustizia dell’UE, la Commissione Europea e il governo degli Stati Uniti hanno iniziato a discutere un nuovo quadro che affrontasse le problematiche sollevate dalla Corte.

Nel marzo 2022, la Presidente Von Der Leyen e il Presidente Biden hanno annunciato di aver raggiunto un accordo preliminare su un nuovo quadro per il trasferimento dei dati transatlantici, dopo negoziati condotti dal Commissario Reynders e il Segretario di Stato Raimondo. Nell’ottobre 2022, il Presidente Biden ha emesso un Ordine Esecutivo sul “Potenziamento delle Protezioni per le Attività di Intelligence dei Segnali degli Stati Uniti”, completato da regolamenti emanati dal Procuratore Generale degli Stati Uniti Garland. Insieme, questi due strumenti hanno attuato gli impegni assunti dagli Stati Uniti nell’ambito dell’accordo preliminare nel contesto legislativo degli Stati Uniti e hanno soddisfatto gli obblighi delle aziende statunitensi nell’ambito del Quadro sulla Privacy dei Dati UE-USA.

Un punto essenziale del quadro giuridico statunitense che istituisce tali garanzie è l’Ordine Esecutivo statunitense sul “Potenziamento delle Protezioni per le Attività di Intelligence dei Segnali degli Stati Uniti”, il quale affronta le preoccupazioni sollevate dalla Corte di Giustizia dell’Unione Europea nella sua decisione Schrems II del luglio 2020.

Il Quadro è gestito e monitorato dal Dipartimento del Commercio degli Stati Uniti. La Federal Trade Commission statunitense sarà responsabile dell’applicazione della conformità delle aziende statunitensi.

Il 10 luglio, la Commissione Europea ha adottato la sua decisione di adeguatezza per il Quadro sulla Privacy dei Dati UE-USA. Tale decisione stabilisce che gli Stati Uniti garantiscono un livello adeguato di tutela, equiparabile a quello dell’UE, per i dati personali trasferiti dalle aziende dell’UE alle aziende statunitensi che partecipano al Quadro sulla Privacy dei Dati UE-USA.

La decisione di adeguatezza è stata presa a seguito della firma da parte degli Stati Uniti di un Ordine Esecutivo sul “Potenziamento delle Protezioni per le Attività di Intelligence dei Segnali degli Stati Uniti”, che ha introdotto nuove salvaguardie vincolanti per affrontare le problematiche sollevate dalla Corte di Giustizia dell’Unione Europea nella sua decisione Schrems II del luglio 2020. In particolare, i nuovi obblighi miravano a garantire che i dati possano essere accessibili alle agenzie di intelligence statunitensi solo nella misura necessaria e proporzionata, e a istituire un meccanismo di ricorso indipendente e imparziale per gestire e risolvere i reclami dei cittadini europei relativi alla raccolta dei loro dati per fini di sicurezza nazionale.

Cosa stabilisce l’EU-US Data Privacy Framework?

Dunque, la presente determinazione sostiene che nell’ambito del nuovo quadro giuridico gli Stati Uniti offrano per i dati personali trasferiti dall’UE alle imprese statunitensi un livello di protezione adeguato, simile a quello dell’Unione Europea. In base a questa  decisione di adeguatezza, i dati personali possono essere trasferiti in modo sicuro dall’UE alle imprese americane che aderiscono al Framework, senza la necessaria adozione di ulteriori misure di protezione dei dati.

Quali sono le novità del Framework UE-USA sulla privacy dei dati

Per affrontare le perplessità sollevate dalla Corte di Giustizia Europea, il nuovo Data Privacy Framework innanzitutto introduce misure che limitano l’accesso ai dati dell’UE dei servizi di intelligence USA solo nel momento in cui emerge una necessità. Viene, inoltre, istituito un Tribunale di Revisione sulla Protezione dei Dati (Data Protection Review Court, DPRC) a cui avranno libero accesso gli individui dell’UE.

Il nuovo quadro migliora in modo significativo alcuni meccanismi del già esistente Privacy Shield, il regolamento bocciato nel 2020 dalla Corte di Giustizia Europea: se il DURC, ad esempio, stabilisce che i dati sono stati raccolti violando le nuove misure di protezione, potrà ordinare la loro eliminazione. Inoltre, le nuove misure di protezione nell’ambito dell’accesso governativo ai dati integreranno gli obblighi che le aziende statunitensi che importano dati dall’UE dovranno rispettare.

Le aziende aderenti all’EU-U.S. Data Privacy Framework saranno obbligate a cancellare i dati personali allorquando non saranno più necessari allo scopo per cui sono stati raccolti, dovranno continuare a garantire la protezione quando i dati personali vengono condivisi con terze parti.

I soggetti UE potranno beneficiare di differenti modalità di ricorso nel caso in cui la gestione dei loro dati da parte delle aziende USA si riveli errata. Tra queste modalità vale la pena menzionare dei meccanismi di risoluzione delle controversie indipendenti gratuiti e un panel di arbitrato indipendente e imparziale, ossia il neonato DPRC, che indagherà e risolverà in modo indipendente i reclami, compresa l’adozione di misure correttive vincolanti.

Lato vantaggi a favore dei soggetti USA, il Data Privacy Framework prevede una serie di salvaguardie nell’ambito dell’accesso ai dati trasferiti dalle autorità pubbliche, soprattutto per scopi di applicazione della legge penale e di sicurezza nazionale, per cui gli individui statunitensi avrebbero accesso ai dati limitatamente a ciò che è necessario e proporzionato alla protezione della sicurezza nazionale.

Le tutele attuate dagli Stati Uniti serviranno anche ad agevolare i flussi di dati transatlantici, poiché si applicheranno anche nei contesti di trasferimento dei dati mediante altri strumenti, come le clausole contrattuali standard e le regole aziendali vincolanti.

Quali sono i prossimi passi?

I meccanismi del Data Privacy Framework saranno soggetti alle revisioni periodiche attuate dalla Commissione Europea e dai rappresentanti delle autorità europee per la protezione dei dati e le competenti autorità statunitensi. La prima revisione avrà luogo entro un anno dall’entrata in vigore del nuovo accordo, con lo scopo di attestare che tutte le disposizioni rilevanti siano state effettivamente implementate e messe in pratica nel quadro giuridico USA.

Per quanto riguarda i servizi digitali statunitensi utilizzati da molte aziende e PA  la decisione di adeguatezza per ora rende legittimo il ricorso a fornitori USA, come, ad esempio, Google Meet, Microsoft Teams e, soprattutto, Google Analytics e Google Font, nell’occhio del ciclone dopo le migliaia di diffide inviate da MonitoraPA.

La decisione di adeguatezza rappresenta un atto risolutivo?

Il futuro è alquanto incerto. Sicuramente si tratta di un passo inevitabile e preannunciato che pare più una mossa politica, ma che senza dubbia allevia il peso dell’incertezza che ha permeato gli ultimi mesi . Tuttavia, in ambito legale sono ancora forti i dubbi sulla reale volontà degli USA di andare incontro alle esigenze dell’UE, di seguito le parole dell’avvocato Andrea Lisi:

 

Nel frattempo, anche Noyb, l’associazione di attivisti per la protezione dei dati personali, pare avere molti dubbi in merito al Data Privacy Framework, dichiarando già la volontà di ricorrere al Corte di Giustizia Europea.

Articoli correlati

Truffe online: attenti alle donazioni per l’Ucraina

Truffe online donazioni ucraina Avete ricevuto delle email che vi chiedevano di effettuare una donazione a favore dei profughi dell'Ucraina? Oppure avete ricevuto proposte di affido per aiutare i bambini in fuga dalla guerra? Fate attenzione, perché non sono pochi i...

Spear phishing: cos’è e come proteggersi

Spear phishing: cos’è e come proteggersi

Lo spear phishing rappresenta una minaccia sempre più sofisticata nel panorama della sicurezza informatica. Questa forma di attacco mirato va oltre le tecniche tradizionali di phishing, concentrandosi su individui specifici o aziende con un livello di precisione...

Cyberguerra: il pericolo di un attacco dalla Russia

Cyberguerra: Attacco in corso. La guerra è cambiata, la cyberguerra è alle porte. Siamo abituati ad associare il termine guerra ad immagini ormai antiche che provenivano da un immaginario derivato dalla guerra in Vietnam, molto cinematografica; o dalla II guerra...

Iscriviti alla nostra Newsletter

Ricevi consigli utili su come mantenerti sicuro nel mondo digitale una volta al mese!