Il 10 luglio scorso la Commissione europea ha adottato la sua decisione di adeguatezza per il Data Privacy Framework UE-USA che garantisce un livello adeguato di protezione – rispetto a quello dell’UE – per i dati personali trasferiti dall’UE a società statunitensi che partecipano al quadro sulla privacy dei dati UE-USA.
Cos’è una decisione di adeguatezza?
Una decisione di adeguatezza è uno degli strumenti, previsti dal GDPR 679/2016, per trasferire dati personali dall’UE a paesi terzi che, secondo la valutazione della Commissione, offrono un livello di protezione dei dati personali paragonabile a quello del Unione Europea.
La decisione di adeguatezza sul quadro UE-USA sulla privacy dei dati copre i trasferimenti di dati da qualsiasi entità pubblica o privata nel SEE a società statunitensi che partecipano al quadro UE-USA sulla privacy dei dati.
Quali sono i criteri per valutare l’adeguatezza?
L’adeguatezza non richiede che il sistema di protezione dei dati del paese terzo sia identico a quello dell’UE, ma si basa sullo standard di “equivalenza essenziale”. Implica una valutazione completa del quadro di protezione dei dati di un paese, sia della protezione applicabile ai dati personali che dei meccanismi di controllo e ricorso disponibili.
Che cos’è il quadro sulla privacy dei dati UE-USA?
Nella sua decisione di adeguatezza, la Commissione ha valutato attentamente
- requisiti
- limitazioni
- garanzie
Il quadro fornisce alle persone nuovi diritti:
- accesso ai propri dati
- correzione o la cancellazione di dati errati o trattati illegalmente
- ricorso
- meccanismi gratuiti di risoluzione delle controversie
Le aziende statunitensi possono certificare la loro partecipazione al Data Privacy Framework UE-USA impegnandosi a rispettare una serie dettagliata di obblighi in materia di privacy:
- la limitazione delle finalità
- la minimizzazione dei dati
- la conservazione dei dati
- sicurezza dei dati
- condivisione dei dati con terze parti
Il Framework sarà amministrato dal Dipartimento del Commercio degli Stati Uniti che:
- elaborerà le domande di certificazione
- controllerà se le aziende partecipanti continuano a soddisfare i requisiti di certificazione.
La conformità da parte delle società statunitensi ai loro obblighi ai sensi del quadro sulla privacy dei dati UE-USA sarà applicata dalla Commissione federale per il commercio degli Stati Uniti.
Quali sono le limitazioni e le garanzie relative all’accesso ai dati da parte delle agenzie di intelligence degli Stati Uniti?
Per gli europei i cui dati personali sono trasferiti negli Stati Uniti sono previste:
- Garanzie vincolanti che limitano l’accesso ai dati da parte delle autorità di intelligence statunitensi a quanto necessario e proporzionato per proteggere la sicurezza nazionale;
- Maggiore controllo delle attività da parte dei servizi di intelligence statunitensi per garantire il rispetto delle limitazioni alle attività di sorveglianza;
- L’istituzione di un meccanismo di ricorso indipendente e imparziale, che include un nuovo tribunale di revisione della protezione dei dati per indagare e risolvere i reclami relativi all’accesso ai propri dati da parte delle autorità di sicurezza nazionale degli Stati Uniti.
Quando si applicherà la decisione?
La decisione di adeguatezza è entrata in vigore con la sua adozione il 10 luglio.
Non ci sono limiti di tempo, ma la Commissione monitorerà costantemente gli sviluppi rilevanti negli Stati Uniti e riesaminerà regolarmente la decisione di adeguatezza.
Il primo riesame avrà luogo entro un anno dall’entrata in vigore della decisione di adeguatezza, per verificare se tutti gli elementi pertinenti del quadro giuridico statunitense funzionino efficacemente nella pratica.
Successivamente, e in base all’esito di tale primo riesame, la Commissione deciderà, in consultazione con gli Stati membri dell’UE e le autorità per la protezione dei dati, sulla periodicità dei futuri riesami, che avranno luogo almeno ogni quattro anni.
Le decisioni di adeguatezza possono essere adattate o addirittura ritirate in caso di sviluppi che incidano sul livello di protezione nel paese terzo.
Fonti: Commissione Europea
Per maggiori informazioni o contatti – Servizio Privacy e Cyber Security
