Data Privacy Framework

Trasferimento dati Ue-Usa, cosa cambia dopo la decisione di adeguatezza



Indirizzo copiato

La nuova decisione di adeguatezza (adottata a norma dell’articolo 45, paragrafo 3 del GDPR) determina una base giuridica certa per il trasferimento dei dati personali dall’UE alle società statunitensi che partecipano al Data Privacy Framework, senza dover predisporre ulteriori garanzie per la protezione dei dati. I dettagli

Pubblicato il 11 lug 2023

Massimo Borgobello

Avvocato a Udine, co-founder dello Studio Legale Associato BCBLaw, PHD e DPO Certificato 11697:2017



Non-disclosure agreement, Cyber,Security,And,Data,Privacy,Protection,Concept,With,Icon,Of

La Commissione Europea ha adottato il 10 luglio una decisione di adeguatezza del Data Privacy Framework, il quadro normativo americano in materia di protezione dei dati per il trasferimento di dati personali UE-USA che ora potrà avvenire in modo sicuro senza dover predisporre ulteriori garanzie per la protezione dei dati.

La precedente decisione di adeguatezza sul Privacy Shield era stata “l’oggetto” della sentenza Schrems II.

La decisione sull’adeguatezza

La decisione sull’adeguatezza appena adottata dalla Commissione europea sul Data Privacy Framework americano per il trasferimento dati UE-USA si basa sul principio per cui la data protection statunitense è, ormai, equiparabile a quella europea.

La nuova decisione di adeguatezza (adottata a norma dell’articolo 45, paragrafo 3 del GDPR che conferisce, appunto, alla Commissione il potere di decidere, mediante un atto di esecuzione, che un Paese non appartenente all’UE garantisce “un livello di protezione adeguato”) determina una base giuridica certa per il trasferimento dei dati personali dall’UE alle società statunitensi che partecipano al Data Privacy Framework, senza dover predisporre ulteriori garanzie per la protezione dei dati.

Il quadro normativo per il trasferimento dati UE-USA

La decisione di adeguatezza adottata il 10 luglio 2023 dalla Commissione UE rafforza di fatto il Data Privacy Framework introducendo nuove garanzie vincolanti per rispondere ai rilievi della Corte di giustizia europea, tra cui – soprattutto – la limitazione dell’accesso ai dati dell’UE da parte dei servizi di intelligence statunitensi.

Questi ultimi non potranno più accedere in modo indiscriminato ai dati dei cittadini europei, ma dovranno limitarsi a quanto strettamente indispensabile e dovranno operare secondo un criterio di proporzionalità.

Di nuovo conio l’istituzione di un Tribunale per il riesame della protezione dei dati (DPRC), a cui avranno accesso le persone dell’UE; il tribunale potrà ordinarne la cancellazione dei dati qualora accertasse la sussistenza di trattamenti in violazione delle nuove garanzie.

Inoltre, le nuove garanzie in materia di accesso ai dati da parte dei governi integreranno gli obblighi che le aziende statunitensi che importano dati dall’UE dovranno sottoscrivere, anche in vista della compliance determinata dal Digital Service Act, dal Digital markets Act e in vista della regolamentazione dell’intelligenza artificiale mediante l’AI Act.

Ovviamente molto soddisfatta per il risultato politico la Presidente Ursula von der Leyen, che ha dichiarato: “Il nuovo Data Privacy Framework UE-USA garantirà flussi di dati sicuri per gli europei e porterà certezza giuridica alle aziende su entrambe le sponde dell’Atlantico. A seguito dell’accordo di principio che ho raggiunto con il Presidente Biden l’anno scorso, gli Stati Uniti hanno assunto impegni senza precedenti per istituire il nuovo framework. Oggi compiamo un passo importante per garantire ai cittadini la sicurezza dei loro dati, per approfondire i legami economici tra l’UE e gli Stati Uniti e per riaffermare al tempo stesso i nostri valori comuni. Questo dimostra che lavorando insieme possiamo affrontare le questioni più complesse”.

Cosa cambia per le aziende USA

Alla luce della nuova decisione di adeguatezza per il trasferimento dati UE-USA, le aziende statunitensi potranno aderire al Data Privacy Framework sul trasferimento dei dati UE-USA impegnandosi a rispettare una serie dettagliata di obblighi in materia di privacy.

In primo luogo, avranno l’obbligo di cancellare i dati personali quando non sono più necessari per lo scopo per cui sono stati raccolti e di garantire la continuità della protezione quando i dati personali sono condivisi con terzi; in altri termini, dovranno operare secondo le regole del GDPR, in termini di minimizzazione, privacy by design e by default.

Per i cittadini europei sono inoltre previsti diversi strumenti di risoluzione delle controversie per il trattamento illecito dei dati, come meccanismi indipendenti e gratuiti di risoluzione delle controversie e un collegio arbitrale.

Dal lato americano del nuovo framework normativo per la protezione dei dati personali, invece, è prevista una serie di salvaguardie per quanto riguarda l’accesso ai dati trasferiti nell’ambito del quadro normativo da parte delle autorità pubbliche statunitensi, in particolare per scopi di applicazione della legge penale e di sicurezza nazionale.

In particolare, l’accesso ai dati è limitato a quanto necessario e proporzionato per proteggere la sicurezza nazionale: nulla, peraltro, che non sia già previsto anche nell’Unione europea; si tratta solo di comprendere – Snowden insegna – in quali termini verranno declinati i conetti di proporzionalità e di sicurezza nazionale oltreoceano.

Infine, da segnalare che le garanzie messe in atto dagli Stati Uniti faciliteranno anche i flussi di dati transatlantici più in generale, poiché si applicano anche quando i dati vengono trasferiti utilizzando altri strumenti, come le clausole contrattuali standard e le norme vincolanti d’impresa.

Il primo riesame avverrà entro un anno dall’entrata in vigore della decisione di adeguatezza, al fine di verificare che tutti gli elementi pertinenti siano stati pienamente attuati nel quadro giuridico statunitense e funzionino efficacemente nella pratica.

Conclusioni

Le premesse sono buone: a parole tutto appare corretto e funzionale.

Sotto il profilo economico, le parti interessate stimano in circa 900 milioni di euro in volume d’affari incentivato con la decisione di adeguatezza.

Sotto il profilo della sostenibilità economica e della certezza del diritto per le big tech statunitensi, non c’è dubbio che la decisione abbia un impatto anche maggiore.

Le conseguenze della sentenza Schrems II si calcolano in miliardi di euro di sanzioni, da Facebook (1,2 miliardi a maggio) a Google (ban di GA3).

L’Unione europea, d’altra parte, non poteva pretendere di far accedere le big tech statunitensi al proprio mercato digitale interno – a cui sono, peraltro, estremamente funzionali – scaricando su di loro sia i costi di gestione delle strutture che monitorano i servizi digitali (DSA), sia il costo delle pesantissime sanzioni determinate dalla sentenza Schrems II.

Il controllo più pervasivo e mirato della Corte di Giustizia e delle soluzioni per i cittadini dell’Unione in caso di violazione delle norme sul trattamento dei dati personali determina un significativo abbattimento dei costi da trattamento illecito, che potrebbero anche essere oggetto di assicurazione.

Ci sarà una sentenza Schrems III? La risposta è: forse, a condizione che vi sia un nuovo caso Snowden.

Piaccia o meno, infatti, l’accordo del 10 luglio 2023 ed i miliardi di euro di sanzioni ed investimenti made in U.S.A. in compliance per il mercato europeo hanno tre padri: Edward Snowden, Julian Assange e Maximilian Schrems.

EU Stories - La coesione innova l'Italia

Tutti
Social
Iniziative
Video
Analisi
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati