Il 10 luglio 2023 la Commissione Europea ha ridefinito le regole per il trasferimento dei dati di cittadini dell’Unione Europea negli Stati Uniti.
Grazie a questa decisione, gli Stati Uniti vengono finalmente riconosciuti come in grado di fornire un livello adeguato di protezione all’Unione Europea (UE). Perciò i dati personali possono fluire liberamente dall’UE alle società statunitensi che si sono autocertificate senza la necessità di ulteriori garanzie.
Il Data Privacy Framework UE-USA (DPF UE-USA) rappresenta un passo fondamentale nel ripristino della fiducia nei confronti dei trasferimenti transatlantici di dati personali e garantisce che il trasferimento dei dati sia conforme a rigorosi standard di protezione.
Al fine di incentivare pratiche responsabili e trasparenti e proteggere i diritti dei cittadini dell’UE, è stato istituito un nuovo meccanismo di ricorso a due livelli:
- Il primo livello è costituito da un funzionario per la protezione delle libertà civili (Civil Liberties Protection Officer, CLPO), proveniente dagli ambienti dell’intelligence americana, che indaga in modo indipendente e obiettivo sui reclami presentati dai cittadini dell’UE (gratuitamente e nella loro lingua) riportando i risultati direttamente alle autorità di protezione dei Paesi da cui la segnalazione è pervenuta. Questi reclami vengono poi trasmessi dal Comitato europeo per la protezione dei dati agli Stati Uniti.
- Il secondo livello comprende il Tribunale per il riesame della protezione dei dati (Data Protection Review Court, DPRC), un organo indipendente e vincolante. Il DPRC esamina i ricorsi fatti contro le decisioni prese dal CLPO. È importante notare che i membri del DPRC possiedono qualifiche specifiche e operano al di fuori dell’influenza o delle istruzioni del governo statunitense, garantendo imparzialità ed equità.
La decisione di adeguatezza garantisce quindi diversi diritti ai cittadini dell’UE i cui dati sono stati trasferiti a società statunitensi autocertificate:
- accedere ai propri dati;
- richiedere rettifiche;
- cancellare i dati errati o trattati illegalmente;
- accedere a vie di ricorso attraverso un meccanismo indipendente e gratuito di risoluzione delle controversie e un collegio arbitrale.
(fonte: iubenda)
Negli ultimi tre anni, l’uso di Google Analytics e di altri servizi che trasferiscono dati personali negli Stati Uniti non era pienamente consentito. Grazie a questa decisione i dati personali possono fluire liberamente dall’UE alle società statunitensi che si sono autocertificate.
Al momento non sono necessarie azioni immediate: è ancora necessario attendere che i fornitori interessati da questa decisione completino il processo di autocertificazione.
