La commissione Europea ha annunciato una bozza di decisione sull’adeguatezza degli Stati Uniti.
Secondo la Commissione europea, dopo le modifiche introdotte dall’executive order del presidente USA Joe Biden sussistono gli elementi per garantire il rispetto degli elementi di sostanziale equivalenza delle tutele e dei principi previsti nel GDPR.
Il primo mattone per la costruzione di un nuovo accordo sul trasferimento dati USA-UE.
Il primo step è quello di armonizzare i diritti alla privacy e alla protezione dei dati che il GDPR riconosce ai cittadini UE e i poteri di sorveglianza degli Stati Uniti.
E non sarà affatto facile, a giudicare dai precedenti. Gli ultimi due accordi infatti sono stati fatti a pezzi da sentenze nette e inequivocabili della Corte di Giustizia UE.
La bozza di decisione pubblicata oggi è il risultato di più di un anno di intensi negoziati con gli Stati Uniti che ho condotto col mio omologo Raimondo. Negli ultimi mesi abbiamo valutato il quadro giuridico statunitense in materia di protezione dei dati personali. Ora siamo fiduciosi di passare alla fase successiva, ovvero la procedura di adozione (di un accordo). La nostra analisi ha dimostrato come negli USA siano adesso in atto solide misure di protezione che consentono un trasferimento dati personali sicuro. Il futuro quadro legale contribuirà a proteggere la privacy dei cittadini, fornendo al contempo la certezza del diritto di cui le imprese hanno bisogno. Siamo ora in attesa dei feedback dell’EDPB, degli esperti degli Stati Membri e del Parlamento Europeo.
Il commissario per la Giustizia dell’UE, Didier Reynders
La bozza di decisione è consultabile qui
EXECUTIVE ORDER
Ordinanza firmata dal Presidente Biden il 7 ottobre 2022, che prevede:
- garanzie vincolanti che limitino l’accesso dai dati personali da parte delle autorità di intelligence statunitensi, che dovranno limitarsi ai casi di stretta necessità e nel rispetto del principio di proporzionalità per proteggere la sicurezza nazionale;
- un controllo maggiore sulle attività dei servizi di intelligence USA per garantire il rispetto delle limitazioni previste per le attività di sorveglianza;
- l’istituzione di un meccanismo di ricorso indipendente e imparziale. Questo includerà la creazione di una nuova “Data Protection Review Court” per indagare e dare risposta ai reclami rispetto all’accesso ai dati personali da parte delle autorità di sicurezza statunitense.
L’Order prevede anche che le agenzie di intelligenze rivedano policy e procedure affinché implementino queste nuove misure di salvaguardia.
DECISIONE DI ADEGUATEZZA
La decisione di adeguatezza rappresenta uno degli strumenti, previsti dall’art. 45 GDPR, per il trasferimento di dati personali verso un paese terzo senza dover richiedere specifiche autorizzazioni in tal senso.
Se gli Stati Uniti vengono dichiarati adeguati, a seguito di una decisione di adeguatezza, diviene legittimo trasferire dati verso le società di questo Stato senza necessità di ulteriori condizioni o autorizzazioni.
Naturalmente, le società USA dovranno certificare il rispetto di una serie di obblighi, a quelli previsti dal GDPR.
CRITERI DECISIONE DI ADEGUATEZZA
Bisogna tenere in considerazione tre macroaree:
- il quadro completo degli obblighi di protezione dei dati;
- i meccanismi di controllo previsti
- le modalità di ricorso disponibili
La Commissione europea ha redatto questo documento “Questions and answers” per fornire maggiori informazioni.
Al momento abbiamo solo una bozza di decisione di adeguatezza, che speriamo venga approvata nell’anno 2023.
Ricondiamo però che ad oggi resta illegittimo il trasferimento dati negli USA, data l’assenza di una legittima base giuridica.
Fonte Accademia della Privacy