Il nuovo Trans-Atlantic Data Privacy Framework sostituirà il Privacy Shield UE-US?

Dopo quasi due anni di lunghi negoziati, la Commissione europea e gli Stati Uniti hanno trovato un accordo su un nuovo Trans-Atlantic Data Privacy Framework. L’accordo assicura che i dati trasferiti negli Stati Uniti siano protetti adeguatamente, come predisposto dalla sentenza della Corte di giustizia dell’UE (Schrems II) sui trasferimenti dei dati sicuri e protetti e un’economia digitale competitiva, che aveva invalidato il Privacy Shield.

Stando al nuovo framework, i dati potranno essere trasferiti in modo libero e sicuro tra l’UE e le aziende statunitensi aderenti. Il nuovo framework assicura che:

• l’accesso ai dati da parte delle autorità di intelligence statunitensi sia limitato a quanto è necessario e proporzionale, quindi legittimo, per proteggere la sicurezza nazionale;
• Le autorità di intelligence statunitensi adotteranno delle procedure per garantire che gli obiettivi di sicurezza nazionale non abbiano un impatto eccessivo sulla privacy e la protezione dei diritti civili dell’individuo;
• I reclami a livello nazionale in UE, per l’accesso dei dati da parte delle autorità di intelligence statunitensi, saranno esaminati e risolti attraverso un nuovo sistema a due livelli. Una Corte per la protezione dei dati, composta da individui esterni al governo USA, si pronuncerà riguardo le accuse;
• Le aziende che trattano i dati trasferiti dall’UE devono comunque auto-certificare la loro aderenza ai principi del framework attraverso il Dipartimento del commercio degli Stati Uniti;
• Saranno adottati dei meccanismi specifici per il controllo e la revisione.

Questo nuovo framework offrirà una base solida per il trasferimento dei dati transatlantico, essenziale per preservare i diritti degli individui e permettere il commercio transatlantico in tutti i settori dell’economia, incluse le piccole e medie imprese.

L’European Data Protection Board (EDPB) ha accolto favorevolmente l’annuncio dell’accordo politico di principio tra la Commissione europea e gli Stati Uniti il 25 marzo. In una dichiarazione ufficiale dell’EDPB, sono stati evidenziati diversi aspetti:

1. L’EDPB ha sottolineato che l’annuncio non costituisce un quadro legale per gli esportatori di dati del SEE per trasferire dati negli Stati Uniti. Quindi, gli esportatori di dati devono continuare ad adottare misure appropriate per adeguarsi ai precedenti legali della Corte di giustizia dell’Unione Europea, e in particolare alla sentenza Schrems II del 16 luglio 2020.
2. L’EDPB analizzerà attentamente i miglioramenti che il nuovo framework può apportare, alla luce della legge dell’UE, i precedenti della Corte di giustizia dell’UE e le passate raccomandazioni dell’EDPB.
3. L’EDPB esaminerà che i dati personali raccolti con la finalità della sicurezza nazionale siano limitati a quanto è necessario e appropriato.
4. L’EDPB verificherà anche che il nuovo sistema di ricorso indipendente rispetti il diritto dei cittadini dello SEE a un ricorso effettivo e un giudice imparziale.
5. L’EDPB valuterà se ogni nuova autorità creata come parte di questo sistema ha accesso alle informazioni pertinenti, inclusi i dati personali, e se può prendere delle decisioni vincolanti riguardo i servizi di intelligence.
6. L’EDPB verificherà anche che le decisioni di questa nuova autorità o la sua inattività possano essere impugnate in tribunale.