Oggi la Commissione Europea ha dato il via libera all’EU-US Data Privacy Framework, che stabilisce che “gli Stati Uniti offrono un livello di protezione equivalente, simile a quello dell’Unione Europea, per i dati personali trasferiti dall’UE alle società statunitensi […]“. In pratica, la decisione di adeguatezza permette che i dati personali dei cittadini europei possano “circolare in sicurezza dall’UE alle società statunitensi che aderiscono al Framework, senza dover adottare ulteriori misure per la protezione dei dati“.
Si tratta di un accordo rilevante concluso tra UE e Stati Uniti, frutto di un lungo e complesso processo che permetterà da ora in poi alle grandi aziende americane – tra cui Meta e Google – di acquisire i dati personali dei cittadini europei, e a questi ultimi di avere maggiori diritti su come i dati vengono trattati e impiegati, tra cui la possibilità di contestare e ricorrere nei casi in cui si ritenga che le informazioni personali siano state raccolte in modo improprio.
Il GDPR stabilisce che la Commissione Europea possa determinare che un Paese terzo – in questo caso gli Stati Uniti – assicuri un livello adeguato di protezione dei dati personali, paragonabile dunque a quello garantito dall’Unione Europea. Con la decisione di adeguatezza la Commissione consente il libero scambio dei dati dall’UE, Norvegia, Liechtenstein e Islanda verso gli USA. La decisione prevede garanzie maggiori rispetto a quanto riportato dal Privacy Shield, invalidato dalla Corte di Giustizia nel 2020 e ora definitivamente sostituito: la limitazione dell’accesso ai dati dei cittadini europei da parte dei servizi di intelligence USA “a quanto necessario e proporzionato“, la creazione di un tribunale per il riesame della protezione dei dati (Data Protection Review Court, DPRC).
Il Data Privacy Framework garantisce che i cittadini europei possano difendersi facilmente nel caso in cui un’azienda statunitense infranga l’accordo: sono previsti “meccanismi di risoluzione delle dispute indipendenti e gratuiti” oltre alla creazione di un collegio arbitrale. Lo stesso vale nel caso in cui i dati vengano raccolti dai servizi di intelligence USA. Anche in questo caso i cittadini comunitari potranno accedere a un meccanismo di appello imparziale.
Le aziende americane devono osservare determinati doveri in materia di privacy. Ad esempio: cancellare i dati quando non servono più per lo scopo per cui erano stati acquisiti, assicurare la protezione anche quando i dati vengono trasmessi a soggetti terzi. Il nuovo Data Privacy Framework garantirà flussi di dati sicuri per gli europei e porterà certezza giuridica alle aziende su entrambe le sponde dell’Atlantico.
É previsto che la Commissione Europea realizzi una revisione periodica del Data Privacy Framework: la prima si terrà entro un anno dall’entrata in vigore della decisione di adeguatezza. Non tutti sono contenti, però: alcuni membri del Parlamento Europeo contestano il fatto che il framework non fornisca sufficienti garanzie contro la sorveglianza di massa da parte degli USA o che non sia in linea con la sentenza Schrems II della Corte di Giustizia, che ha annullato il Privacy Shield.
Altri ritengono che il framework sia troppo favorevole alle grandi aziende tecnologiche e che non tuteli adeguatamente i diritti dei consumatori e delle piccole imprese. In conclusione, il EU-US Data Privacy Framework è un accordo storico che potrebbe avere un impatto significativo sul commercio e sulla cooperazione tra le due aree economiche più importanti del mondo, ma che dovrà affrontare ancora molte sfide e resistenze prima di essere pienamente operativo e accettato. Solo il tempo dirà se il framework sarà in grado di garantire un equilibrio tra la protezione dei dati personali e la promozione dell’innovazione e della competitività.