Data Privacy Framework: cosa prevede l’accordo sull’invio di dati dall’UE agli Stati Uniti

Il nuovo Data Privacy Framework UE-USA sarà volto a tutelare i dati dei cittadini europei, permettendo nel contempo l'invio verso gli Stati Uniti

di Francesca Di Feo

Adv

nuovo data privacy framework ue usa
  • L’approvazione del Data Privacy Framework UE-USA sublima gli anni di negoziati in ambito di protezione dei dati personali trasmessi dall’UE verso gli Stati Uniti.
  • Questa decisione consente il trasferimento di dati personali dall’UE alle società statunitensi autocertificate senza ulteriori garanzie, con il tacito accordo di rispettare i regolamenti imposti dal nuovo Data Privacy Framework UE-USA.
  • Il DPF affronta le preoccupazioni sollevate dalla Commissione Europea, e introduce misure per garantire un livello adeguato di protezione dei dati.

Se c’è una cosa a cui la Commissione Europea tiene particolarmente, è la privacy dei suoi cittadini. Il giro di vite compiuto negli scorsi anni in ambito di trasmissione e condivisione dei dati aveva costretto il Garante Europeo ad adottare misure drastiche per arginare l’emorragia di dati inviati a paesi terzi.

Tuttavia, oggi pare che la situazione si sia parzialmente sbloccata.

Dopo anni di negoziati, Il 10 luglio 2023 la Commissione Europea, in accordo con gli Stati Uniti, ha infatti scelto di adottare il Data Privacy Framework (DPF) UE-USA, regolamento condiviso che consentirà il trasferimento di dati personali dall’Unione Europea (UE) agli Stati Uniti.

Gli USA si sarebbero quindi “messi in regola”, assicurando all’UE un livello di protezione dei dati adeguato. Vediamo nei dettagli di cosa si tratta.

Trasferimento dati UE-USA: il tira e molla tra Unione Europea e Stati Uniti

Per comprendere appieno l’importanza di questa decisione, è necessario esaminare il contesto storico degli accordi precedenti tra l’UE e gli Stati Uniti per la protezione dei dati personali. Nel 2000, abbiamo il “Safe Harbor, adottato dalla Commissione europea che ai tempi riconobbe l’idoneità delle misure di protezione dei dati fornite dagli Stati Uniti.

nuovo data privacy framework ue usa

Tuttavia, nel 2015, l’accordo Safe Harbor fu invalidato, a seguito della decisione Schrems I della Corte di giustizia dell’UE. Nel 2016, l’introduzione del “Privacy Shield” come sostituto del Safe Harbor. E infine nel 2020, la decisione Shrems II, che stabiliva una netta incompatibilità del Privacy Shield con il General Data Protection Regulation (GDPR) dell’UE.

Dopo l’invalidazione del Privacy Shield, il via a lunghi negoziati tra l’UE e gli Stati Uniti per stabilire un nuovo quadro normativo per il trasferimento dei dati personali. E si arriva a oggi, con il Data Privacy Framework UE-USA.

L’accordo USA-UE sulla protezione dei dati e il nuovo regolamento DPF UE-USA

Il DPF UE-USA è stato specificatamente progettato per affrontare le preoccupazioni sollevate dalla Corte di Giustizia europea, e per garantire un livello adeguato di protezione dei dati personali. Di seguito, alcuni dei suoi punti salienti.

Accesso ai dati: le limitazioni

Una delle principali preoccupazioni sollevate dalla decisione Schrems II riguardava la possibilità per le  agenzie di intelligence statunitensi di accedere ai dati personali degli utenti europei.

Il DPF UE-USA affronta quest’istanza limitando l’accesso ai dati solo a ciò che è considerato “necessario e proporzionato”. Questo garantisce un livello di protezione adeguato, assicurando al contempo i legittimi interessi di sicurezza nazionale avanzati dagli USA.

Possibilità di ricorso tramite enti imparziali

Per proteggere i diritti dei cittadini dell’UE e promuovere pratiche trasparenti, il DPF UE-USA istituisce un meccanismo di ricorso a due livelli in caso di violazioni.

Il primo livello coinvolge un funzionario per la protezione delle libertà civili (Civil Liberties Protection Officer, CLPO) proveniente dall’intelligence americana. Questo funzionario indaga in modo indipendente sui reclami presentati dai cittadini dell’UE, fornendo i risultati alle autorità di protezione dei dati dei rispettivi paesi.

Il secondo livello prevede il Tribunale per il Riesame della Protezione dei Dati (Data Protection Review Court, DPRC), un organo indipendente e vincolante che esamina i ricorsi contro le decisioni prese dal CLPO. Questo meccanismo assicura un’indagine obiettiva e imparziale delle controversie legate alla protezione dei dati.

Pieno controllo dei propri dati ai cittadini UE

Veniamo però ai diretti interessati: i cittadini detentori dei dati in questione. Il DPF UE-USA stabilisce anche un legittimo obbligo di trasparenza. I cittadini avranno quindi il diritto di

  • accedere ai propri dati
  • richiedere la rettifica in caso di errori o procedure irregolari
  • chiederne la cancellazione
  • avere accesso a un meccanismo indipendente e gratuito di risoluzione delle controversie – quello citato in precedenza.

Non solo dati personali

Le garanzie fornite dal governo statunitense nell’ambito dell’accordo UE-USA non si limitano solo ai trasferimenti di dati personali attraverso il DPF, ma si estendono anche ad altri meccanismi di trasferimento, come le clausole contrattuali standard e le norme aziendali vincolanti.

Il che garantisce una protezione a 360° su tutti i fronti, qualsiasi sia il meccanismo di trasferimento utilizzato.

Costante monitoraggio della conformità

Per garantire che il DPF UE-USA rimanga aggiornato e rilevante anche negli anni a venire, esso sarà regolarmente soggetto a revisioni periodiche per garantire la conformità continua alle norme sulla protezione dei dati.

Nel caso in cui fosse necessaria una revisione e una modifica, entrambe le parti si riservano di avanzare istanze in merito. La prima revisione è già prevista a un anno dall’entrata in vigore del DPF UE-USA.

Data Privacy Framework UE-USA – Domande frequenti

Quando entrerà in vigore il Data Privacy Framework UE-USA?

Il Data Privacy Framework UE-USA è già entrato in vigore il 10 lugluo 2023.

Qual è la differenza tra il GDPR degli Stati Uniti e quello dell’UE?

Non esiste un GDPR specifico per gli Stati Uniti. Mentre l’UE ha implementato il General Data Protection Regulation (GDPR) per tutelare la privacy dei cittadini europei, negli Stati Uniti esistono diverse leggi sulla privacy a livello federale e statale.

Il Privacy Shield UE-USA è ancora valido?

No, il Privacy Shield UE-USA non è più valido. È stato dichiarato invalido dalla Corte di giustizia dell’Unione Europea (CGUE) nel luglio 2020 nella decisione Schrems II.

Autore
Classe 1994, immediatamente dopo gli studi ho scelto di intraprendere una carriera nel Project Management in ambito di progetti Erasmus+ per EPS. Questo mi ha portato ad approfondire in particolare le tematiche inerenti alla fiscalità delle PMI, anche se la mia area di expertise risulta oggi molto più ampia in questo ambito. Oggi sono copywriter freelance appassionata di scrittura e di innovazione per le piccole e medie imprese.

Lascia un commento

Continua a leggere

Iscriviti alla Newsletter

Il meglio delle notizie di Partitaiva.it, per ricevere sempre le novità e i consigli su fisco, tasse, lavoro, economia, fintech e molto altro.

Abilita JavaScript nel browser per completare questo modulo.