+39 333 1328522 
La Commissione Europea ha ufficialmente approvato il “EU-US Data Privacy Framework”, ovvero il nuovo accordo sul trasferimento dei dati verso gli Stati Uniti. Con la pubblicazione della nuova decisione di adeguatezza del 10 luglio 2023.
L’unione Europea ha formalmente riconosciuto che adesso sussistono garanzie sufficienti per la protezione dei dati personali dei cittadini dell’UE trattati nel territorio statunitense, nonché tutele legali che insieme ai nuovi parametri sono in grado di limitare l’invasivo operato delle agenzie di intelligence statunitensi.
Privacy Shield
In precedenza il trasferimento dei dati era previsto dal c.d.“ Privacy Shield”, ma nel 2020 la Corte di giustizia dell’Unione Europea lo aveva bloccato ritenendo che le agenzie di intelligence degli Stati Uniti avessero mantenuto eccessive capacità di spiare i dati personali dei cittadini europei.
La Corte aveva annullato anche il “Safe Harbor”, un altro accordo entrato in vigore nel 2000 e ritenuto insufficiente per garantire la tutela dei dati. I due accordi erano stati bloccati in seguito a una denuncia da parte di Max Schrems, un attivista che si occupa di privacy e che aveva contestato le attività di spionaggio dell’intelligence statunitense sui dati europei.
La presidente della Commissione Ue Ursula von der Leyen ha dichiarato: “Il nuovo EU-U.S. Data Privacy Framework garantirà flussi di dati sicuri per gli europei e porterà certezza giuridica alle aziende su entrambe le sponde dell’Atlantico. A seguito dell’accordo di principio che ho raggiunto con il presidente Biden lo scorso anno, gli Stati Uniti hanno attuato impegni senza precedenti per stabilire il nuovo quadro. Oggi facciamo un passo importante per fornire fiducia ai cittadini che i loro dati sono al sicuro, per approfondire i nostri legami economici tra l’UE e gli Stati Uniti e allo stesso tempo per riaffermare i nostri valori condivisi. Dimostra che lavorando insieme possiamo affrontare le questioni più complesse.”
Cosa significa avere una Decisione di Adeguatezza?
Il GDPR è estremamente severo quando si tratta di proteggere i dati personali dei cittadini europei. In generale, non è consentito trasferire dati personali al di fuori dell’Unione Europea, a meno che la Commissione Europea non dichiari, attraverso una specifica Decisione, che il paese terzo possiede garanzie simili a quelle dell’UE. In sostanza, la Decisione di Adeguatezza funge da via libera a condividere dati con aziende extra-europee.
Perché questa decisione di Adeguatezza è così importante?
I fornitori di servizi cloud più utilizzati (Amazon, Azure, Google) sono statunitensi.
Questo accordo permette loro di svolgere le loro attività e di trasferire lecitamente dati personali negli USA.
In aggiunta, tutte le aziende che utilizzano i servizi cloud di cui sopra possono trasferire in maniera sicura i dati senza temere eventuali ripercussioni da parte delle autorità di controllo.
Le aziende statunitensi potranno aderire all’UE-U.S.Data Privacy Framework impegnandosi a rispettare un dettagliato insieme di obblighi in materia di privacy, ad esempio l’obbligo di cancellare i dati personali quando non sono più necessari per lo scopo per cui sono stati raccolti, e di garantire la continuità della protezione quando i dati personali vengono condivisi con terze parti.
Cosa succederà ora?
Per quanto questa notizia sia estremamente positiva, non è ancora chiaro se questa nuova decisione di adeguatezza potrà reggere. In primo luogo, si deve tenere in considerazione che a maggio lo stesso Parlamento Europeo aveva giudicato le misure Usa insufficienti per garantire la protezione dei dati degli europei, invitando la Commissione Ue a riaprire i negoziati. In aggiunta, sarà probabilmente pronosticabile il ricorso alla Corte di Giustizia dell’Ue da parte di Noyb, l’organizzazione fondata dall’attivista Max Schrems, noto per le due sentenze della suprema Corte europea che portano il suo cognome le quali avevano già invalidato i due precedenti accordi che regolano il trasferimento, il quale ha già annunciato sul proprio sito di voler presentare ricorso. In sintesi, è un quadro ancora in divenire seppure la Decisione fosse veramente attesa.
In ogni caso la materia va approfondita con approccio dettato dall’accountability, privacy by design e by default, quindi con consapevolezza diffusa da parte di titolari, responsabili e interessati del trattamento in ragione del singolo trattamento da effettuarsi. Resta, poi, da capire cosa faranno le Aziende fornitrici di servizi.