Privacy: la Commissione europea adotta una decisione di adeguatezza degli USA per il trasferimento dei dati personali
Il 10 luglio la Commissione Europea ha adottato una decisione di adeguatezza degli Stati Uniti sul piano della tutela dei dati personali
Il 10 luglio 2023 la Commissione Europea ha adottato una decisione di adeguatezza degli Stati Uniti sul piano della tutela dei dati personali.
La Commissione, in base a quanto previsto dall'art. 45, par. 3 del Regolamento (UE) 2016/679 (GDPR), ha infatti il potere di valutare e decidere che un paese extraeuropeo assicuri livelli di protezione dei dati personali "adeguati", cioè sostanzialmente equivalente al livello di protezione garantito nell'Unione Europea.
Tale valutazione si basa su una serie di criteri, quali, ad esempio, lo stato di diritto, il rispetto dei diritti umani e delle libertà fondamentali, l'esistenza e l'effettivo funzionamento di una o più autorità di controllo indipendenti e l'eventuale presenza di impegni internazionali assunti dal paese terzo in relazione alla tutela dei dati personali.
L'effetto di questa decisione è che i dati personali potranno essere trasmessi, senza limitazioni, dall'Unione Europea - e dai Paesi appartenenti allo Spazio Economico Europeo, quali Norvegia, Liechtenstein e Islanda - al paese considerato "adeguato".
La decisione di adeguatezza degli USA si inserisce nell'ambito del quadro UE-USA per la protezione dei dati personali, con il quale sono state introdotte garanzie vincolanti per far fronte alle preoccupazioni espresse dalla Corte di Giustizia dell'Unione Europea sul livello di protezione dei dati personali nell'ordinamento statunitense.
In particolare, le imprese statunitensi che vorranno aderire al quadro UE-USA dovranno impegnarsi a rispettare una serie di obblighi in materia di privacy, quali, in particolare, la cancellazione dei dati quando non sono più necessari per lo scopo per il quale sono stati raccolti e la garanzia di una tutela continuativa in caso di trasmissione dei dati a terzi.
Inoltre, il quadro prevede una limitazione dell'accesso ai dati provenienti dall'UE da parte dei servizi di intelligence e delle autorità pubbliche statunitensi a quanto necessario e proporzionato per la tutela della sicurezza nazionale.
Infine, è prevista l'istituzione del Data Protection Review Court (DPRC), un tribunale del riesame indipendente e imparziale accessibile ai cittadini dell'Unione, i quali potranno ricorrervi gratuitamente in caso di trattamento scorretto dei loro dati da parte delle imprese e delle agenzie di intelligence statunitensi, al fine di ottenere misure correttive vincolanti.
Il quadro UE-USA sarà periodicamente oggetto di riesami – il primo dei quali avverrà entro un anno dall'entrata in vigore della decisione di adeguatezza – da parte della Commissione europea e dei rappresentanti delle autorità europee di protezione dei dati e delle autorità statunitensi competenti, al fine di verificare l'attualità e la completezza del quadro e la sua effettiva attuazione nella prassi.
_____
*A cura dell'Avv. Valentina Boscarino, Lexellent