Trasferimento internazionale dei dati: il giudizio della Commissione europea

Home PA Digitale Trasferimento internazionale dei dati: il giudizio della Commissione europea

Lo scorso 10 luglio la Commissione europea ha adottato la sua decisione di adeguatezza sull’accordo UE-USA raggiunto in tema di trasferimento di dati personali dall’UE alle società statunitensi che partecipano al programma. Nella sua decisione di adeguatezza, la Commissione ha valutato attentamente i contenuti dell’accordo UE-USA Data Privacy Framework, nonché le limitazioni e le garanzie che si applicano quando i dati personali trasferiti negli Stati Uniti potrebbero essere accessibili alle autorità pubbliche statunitensi. In questa nuova puntata della Rubrica “Appunti di Privacy”, vediamo nel dettaglio cosa prevede l’’accordo UE-USA, quali sono stati i criteri di valutazione della Commissione e altro ancora

20 Luglio 2023

C

Patrizia Cardillo

Esperta di Protezione dati personali

Foto di Warren su Unsplash - https://unsplash.com/it/foto/u7dy-n4uZVk

Lo scorso 10 luglio 2023 si è aperto un nuovo capitolo sul tema che da alcuni anni fa discutere e preoccupa organizzazioni, società ed esperti del settore: la Commissione europea ha adottato la sua decisione di adeguatezza sull’accordo raggiunto in tema di trasferimento di dati personali dall’UE alle società statunitensi che partecipano al programma UE-USA.

La decisione di adeguatezza fa seguito alla firma da parte del Presidente Biden il 7 ottobre 2022 dell’Executive Order on “Enhancing Safeguards for United States Signals Intelligence Activities”, (di seguito: Executive Order) che rafforza le misure di salvaguardia per le attività di intelligence sui segnali degli Stati Uniti, che ha introdotto nuove garanzie vincolanti per affrontare i punti sollevati dalla Corte di giustizia dell’Unione europea nella sua decisione Schrems II del luglio 2020. In particolare, i nuovi obblighi miravano a garantire che le agenzie di intelligence statunitensi potessero accedere ai dati solo nella misura necessaria e proporzionata e a istituire un meccanismo di ricorso indipendente e imparziale per gestire e risolvere i reclami degli europei riguardanti la raccolta di i loro dati per motivi di sicurezza nazionale.

Strumento e criteri di valutazione

Una decisione di adeguatezza è uno degli strumenti previsti dal regolamento generale sulla protezione dei dati (UE) 2016/679 (di seguito: GDPR) per trasferire dati personali dall’UE a paesi terzi che, secondo la valutazione della Commissione, offrono un livello di protezione dei dati personali paragonabile a quello dell’Unione Europea in forza del quale i dati personali possono fluire liberamente e in sicurezza dallo Spazio economico europeo (SEE), che comprende i 27 Stati membri dell’UE, nonché Norvegia, Islanda e Liechtenstein, verso un paese terzo, senza essere soggetti a ulteriori condizioni o autorizzazioni.

Il giudizio di adeguatezza non richiede che il sistema di protezione dei dati del paese terzo sia identico a quello dell’UE, ma si basa sullo standard di “equivalenza essenziale”. Implica, quindi, una valutazione completa del quadro di protezione dei dati di un paese, sia della protezione applicabile ai dati personali che dei meccanismi di controllo e ricorso disponibili.

L’accordo UE-USA

Nella sua decisione di adeguatezza, la Commissione ha valutato attentamente i contenuti dell’accordo UE-USA Data Privacy Framework (di seguito: Accordo UE-USA), nonché le limitazioni e le garanzie che si applicano quando i dati personali trasferiti negli Stati Uniti potrebbero essere accessibili alle autorità pubbliche statunitensi, in particolare in l’applicazione della legge penale e per scopi di sicurezza nazionale.

La Commissione ha valutato che l’Accordo UE-USA fornisce ai cittadini europei nuovi diritti (l’accesso ai propri dati, la correzione o la cancellazione di dati errati o trattati illegalmente) e offre diverse vie di ricorso nel caso in cui i loro dati vengano trattati in modo errato, compresi meccanismi gratuiti di risoluzione delle controversie indipendenti e un collegio arbitrale.
Le aziende statunitensi possono certificare la loro partecipazione all’Accordo EU-USA impegnandosi a rispettare una serie dettagliata di obblighi in materia di privacy a partire dal rispetto dei principi previsti dal GDPR (limitazione delle finalità, minimizzazione dei dati e conservazione dei dati, nonché obblighi specifici relativi alla sicurezza dei dati e alla loro condivisione con terze parti). L’Accordo UE-USA sarà amministrato dal Dipartimento del Commercio degli Stati Uniti, che elaborerà le domande di certificazione e controllerà che le aziende partecipanti continuino a soddisfare i requisiti di certificazione e la conformità agli obblighi previsti.
Parte integrante del nuovo quadro di riferimento l’Executive Order con i successivi regolamenti adottati dal procuratore generale. In particolare sono previsti:

  • meccanismi di garanzie vincolanti che limitano l’accesso ai dati da parte delle autorità di intelligence statunitensi a quanto sia necessario e proporzionato per proteggere la sicurezza nazionale;
  • un maggiore controllo delle attività da parte dei servizi di intelligence statunitensi per garantire il rispetto delle limitazioni alle attività di sorveglianza;
  • l’istituzione di un meccanismo di ricorso indipendente e imparziale, che include un nuovo tribunale per il riesame della protezione dei dati per indagare e risolvere i reclami riguardanti l’accesso ai propri dati da parte delle autorità di sicurezza nazionale degli Stati Uniti.

Il meccanismo di ricorso

Il governo degli Stati Uniti ha istituito un nuovo meccanismo di ricorso a due livelli, per gestire e risolvere i reclami di qualsiasi individuo i cui dati siano stati trasferiti dal SEE a società negli Stati Uniti in merito alla raccolta e all’utilizzo dei propri dati da parte degli Stati Uniti agenzie di intelligence. I cittadini europei possono presentare un reclamo alla propria autorità nazionale per la protezione dei dati, che assicurerà che il reclamo sia trasmesso correttamente e che ogni ulteriore informazione relativa alla procedura, compreso l’esito, sia fornita all’interessato.

Le denunce saranno esaminate dal “Responsabile per la protezione delle libertà civili” della comunità dell’intelligence statunitense. Le persone hanno la possibilità di presentare ricorso contro la decisione del responsabile della protezione delle libertà civili dinanzi al tribunale per il riesame della protezione dei dati (DPRC) di nuova creazione.

La Corte è composta da membri esterni al governo degli Stati Uniti, in possesso di specifici requisiti, possono essere licenziati solo per giusta causa (come una condanna penale, o essere ritenuti mentalmente o fisicamente inadatti a svolgere i loro compiti) e non possono ricevere istruzioni del governo. La DPRC ha il potere di indagare sulle denunce di individui dell’UE, anche per ottenere informazioni pertinenti dalle agenzie di intelligence, e può prendere decisioni correttive vincolanti (cancellazione dei dati se rileva che i dati sono stati raccolti in violazione delle garanzie previste nell’Executive Order).

In ciascun caso, la Corte selezionerà un avvocato speciale con esperienza pertinente per sostenere la Corte, che assicurerà che gli interessi del querelante siano rappresentati e che la Corte sia ben informata degli aspetti fattuali e legali del caso. Ciò garantirà la rappresentanza di entrambe le parti e introdurrà importanti garanzie in termini di processo equo e giusto. Una volta che il responsabile per la protezione delle libertà civili o il DPRC avranno completato l’indagine, il denunciante verrà informato che non è stata identificata alcuna violazione della legge statunitense o che è stata rilevata una violazione e vi è stato posto rimedio. In una fase successiva, il denunciante sarà anche informato quando qualsiasi informazione sulla procedura dinanzi al DPRC – come la decisione motivata della Corte – non è più soggetta a requisiti di riservatezza e può essere ottenuta.

Il percorso

La decisione di adeguatezza è entrata in vigore al momento della sua adozione, il 10 luglio 2023.
La Commissione ne monitorerà costantemente gli sviluppi e riesaminerà regolarmente la decisione di adeguatezza. Il primo riesame avrà luogo entro un anno dall’entrata in vigore della decisione di adeguatezza, per verificare il funzionamento di tutti gli elementi pertinenti del quadro giuridico statunitense. Successivamente, e in base all’esito di tale primo riesame, la Commissione deciderà, in consultazione con gli Stati membri dell’UE e le autorità per la protezione dei dati, sulla periodicità dei futuri riesami. Le decisioni di adeguatezza possono essere adattate o addirittura ritirate in caso di sviluppi che incidano sul livello di protezione nel paese terzo.

Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!