GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/745/01.jpg
giovedì 15 dicembre 2022
di GDPRlab.it
Trasferimento dati negli USA: la Commissione europea pubblica una bozza di decisione. Inizia l'iter per l'approvazione del Privacy Shield 2.0
La commissione Europea ha annunciato una bozza di decisione sull'adeguatezza degli Stati Uniti. Un passaggio fondamentale che apre, nei fatti, la strada per un nuovo accordo sul trasferimento dati USA-UE. In adozione così, probabilmente, nel corso del 2023.
Di fatto è un passaggio necessario, il primo mattone sul quale dovrà appoggiare necessariamente il Privacy Shield 2.0. D'altronde l'incertezza giuridica conseguente alla dichiarazione di illegittimità del Privacy Shield ha creato notevoli problemi, dei quali l'affaire Google Analytics è solo la punta dell'iceberg.
Il problema principe che andrà risolto, sarà quello di armonizzare, trovare un punto di equilibrio, tra i diritti alla privacy e alla protezione dei dati che il GDPR riconosce ai cittadini UE e i poteri di sorveglianza degli Stati Uniti. E non sarà affatto facile, a giudicare dai precedenti. Gli ultimi due accordi infatti sono stati fatti a pezzi da sentenze nette e inequivocabili della Corte di Giustizia UE.
Il commissario per la Giustizia dell'UE, Didier Reynders ha dichiarato che:
La bozza di decisione pubblicata oggi è il risultato di più di un anno di intensi negoziati con gli Stati Uniti che ho condotto col mio omologo Raimondo. Negli ultimi mesi abbiamo valutato il quadro giuridico statunitense in materia di protezione dei dati personali. Ora siamo fiduciosi di passare alla fase successiva, ovvero la procedura di adozione (di un accordo). La nostra analisi ha dimostrato come negli USA siano adesso in atto solide misure di protezione che consentono un trasferimento dati personali sicuro. Il futuro quadro legale contribuirà a proteggere la privacy dei cittadini, fornendo al contempo la certezza del diritto di cui le imprese hanno bisogno. Siamo ora in attesa dei feedback dell'EDPB, degli esperti degli Stati Membri e del Parlamento Europeo.
La bozza di decisione è consultabile qui
E' utile chiarire, forse, alcuni aspetti. A partire dal valore di una decisione di adeguatezza. Questo è uno strumento previsto dal GDPR per trasferire dati personali di cittadini UE a paesi terzi che, secondo la valutazione della Commissione, offrono un livello di protezione dei dati paragonabile a quello offerto dal GDPR.
Se uno Stato viene dichiarato adeguato, appunto a seguito di una decisione di adeguatezza, diviene legittimo trasferire dati verso quello Stato senza necessità di ulteriori condizioni o autorizzazioni. Una volta adottata una decisione di adegutezza, le entità europee potranno trasferire dati personali alle società USA senza dover predisporre ulteriori garanzie di protezione dati. Di contro, le aziende statunitensi dovranno certificare la loro adozione al nuovo accordo di trasferimento dati impegnandosi a rispettare una serie di obblighi equivalenti a quelli previsti dal GDPR. Tra questi la limitazione della finalità del trattamento dati, della conservazione dei dati e della condivisione con terze parti, ma anche precisi obblighi in materia di sicurezza informatica.
Lo spiega la Commissione europea, in questo "Questions and answers"
A partire dal fatto che la decisione di adeguatezza non richiede un sistema di protezione dei dati identico a quello dell'UE, ma che gli standard di data prtection siano "essenzialmente equivalenti". Vanno tenuti in considerazione, quindi tre macro-aree:
Per dettagliare questa "adeguatezza" le autorità garanti europee hanno elaborato una lista di elementi da tenere in considerazione.
Un elemento essenziale nella valutazione del quadro giuridico di protezione dei dati statunitense è l'Executive Order firmato dal Presidente Biden il 7 ottobre 2022. Questa ordinanza ha dato attuazione agli impegni che gli Stati Uniti hanno assunto nell'accordo di principio che, a Marzo, fu annunciato dalla Presidente Von Der Leyen e dal Presidente Biden.
L'Executive Order prevede:
L'Order prevede anche che le agenzie di intelligenze rivedano policy e provedure affinchè implementino queste nuove misure di salvaguardia.
Come detto siamo di fronte ad una bozza di decisione di adeguatezza. La cui approvazione è necessaria per procedere al passo successivo e poter raggiungere un nuovo accordo. C'è chi già colloca l'approvazione del nuovo accordo nel 2023, ma c'è anche chi fa notare che una nuova impugnativa come quella che ha fatto invalidare gli accordi precedenti sia già nell'aria.
Non resta che attendere quindi: le acque si stanno smuovendo, ma resta ad oggi illegittimo il trasferimento dati negli USA, data l'assenza di una legittima base giuridica.
giovedì 6 marzo 2025
martedì 4 marzo 2025
CONDIVIDI QUESTA PAGINA!