Che cosa prevede il GDPR in materia di trattamento dei dati personali?
Il trattamento dati personali e il loro trasferimento verso l’estero sono tra i temi più importanti tra quelli regolati dal GDPR poiché fuori dall’UE non sono previste tutele simili a quelle garantite dal legislatore europeo.
Il Regolamento UE n. 679/16 stabilisce infatti che il trasferimento dei suddetti dati verso Paesi terzi può avvenire solo nel rispetto delle regole di adeguatezza: in altre parole, la Commissione europea deve riconoscere che il Paese nel quale vengono trasferiti i dati rispetta gli standard previsti dalla normativa comunitaria in materia di protezione dei dati.
In alternativa, il trasferimento è consentito se il titolare o responsabile del trattamento forniscono garanzie adeguate, oppure se, come illustrato nell’art. 49 Reg. UE n.679/16, sussistono determinate condizioni (ad esempio: il soggetto interessato ha prestato il proprio consenso dopo aver preso visione di un’informativa in cui sono elencati i rischi legati al trasferimento dei dati personali in mancanza di adeguate garanzie).
Al fine di garantire la sicurezza dei dati trasferiti all’estero, come predisposto dalla sentenza della Corte di giustizia dell’Unione Europea (Schrems II), la Commissione europea e gli Stati Uniti hanno trovato un accordo su un nuovo Trans-Atlantic Data Privacy Framework che favorirà i flussi di dati transatlantici.
Come cambia il trattamento dati personali con il Trans-Atlantic Data Privacy Framework?
Il Trans-Atlantic Data Privacy Framework è un segnale importante che testimonia l’impegno senza precedenti da parte degli Stati Uniti nell’attuare riforme che rafforzeranno la tutela della privacy e delle libertà civili applicabili alle attività di intelligence dei segnali degli Stati Uniti.
In base a quanto previsto dall’accordo, infatti, gli USA dovranno mettere in atto nuove misure per:
- Garantire che le attività di sorveglianza siano necessarie e proporzionate al perseguimento di obiettivi di sicurezza nazionale definiti;
- Istituire un meccanismo di ricorso indipendente a due gradi di giudizio e un’autorità che individui le misure correttive dirette;
- Migliorare la supervisione delle attività di intelligence per garantire un controllo puntale ed efficace dei nuovi standard in tema di trattamento privacy.
Il Trans-Atlantic Data Privacy Framework è il risultato di più di un anno di negoziati tra l’Unione Europea e gli Stati Uniti e intende fornire una base solida e duratura per i flussi di dati transatlantici, che sono fondamentali per proteggere i diritti dei cittadini e consentire il commercio in tutti i settori dell’economia, comprese le piccole e medie imprese.
Il nuovo framework promuove un’economia digitale inclusiva a cui tutti possono partecipare e in cui le aziende di ogni dimensione possono prosperare, favorendo la cooperazione tra Stati Uniti e Unione Europea, anche attraverso il Consiglio per il commercio e la tecnologia e i forum multilaterali, come l’Organizzazione per la cooperazione e lo sviluppo economico, sulle politiche digitali.
In definitiva, l’obiettivo del Trans-Atlantic Data Privacy Framework è fissare i principi a cui dovrà conformarsi ogni trasferimento di dati personali dall’Europa verso gli USA, definendo nuove regole per garantire da parte degli Stati Uniti un livello di protezione e trattamento privacy equivalente a quello europeo.
Quali sono i principi chiave del Trans-Atlantic Data Privacy Framework?
Vediamo quali sono gli aspetti più importanti del nuovo framework condiviso tra UE e USA:
- I dati potranno essere trasferiti liberamente e in sicurezza tra l‘UE e le aziende statunitensi aderenti;
- Saranno definite una serie di regole e garanzie vincolanti per limitare l’accesso ai dati personali da parte delle autorità di intelligence statunitensi solo a quanto strettamente necessario e proporzionato per proteggere la sicurezza nazionale. Le agenzie di intelligence US dovranno inoltre adottare delle procedure per assicurare un’efficace supervisione dei nuovi standard di privacy;
- È previsto un nuovo sistema di ricorso con due gradi di giudizio per la risoluzione dei reclami dei cittadini europei in relazione all’accesso ai dati da parte delle autorità di intelligence statunitensi, che dovrà includere una Data Protection Review Court;
- Saranno definiti obblighi stringenti per le aziende che trattano i dati personali trasferiti dall’Unione Europea, con obbligo di autocertificare il rispetto dei Principi attraverso la loro adesione ai principi attraverso il Dipartimento del Commercio degli Stati Uniti;
- Dovranno essere implementati specifici meccanismi di monitoraggio e revisione.
Quali saranno i benefici del nuovo framework?
Ecco quali saranno i principali vantaggi del Trans-Atlantic Data Privacy Framework:
- Adeguata protezione dei dati dei cittadini europei trasferiti negli Stati Uniti, in risposta alla sentenza della Corte di giustizia europea (Schrems II);
- Flussi di dati sicuri e protetti;
- Base giuridica durevole e affidabile;
- Economia digitale competitiva e cooperazione economica;
- Flussi di dati continui, alla base di 900 miliardi di euro di commercio transfrontaliero all’anno.
Le prossime tappe: che cosa succederà?
Il prossimo passo sarà tradurre l’accordo in un documento legale. Gli impegni degli Stati Uniti saranno inclusi in un decreto esecutivo che costituirà la base di un progetto di decisione di adeguatezza da parte della Commissione per l’attuazione del nuovo quadro transatlantico sulla privacy dei dati.