Protezione dei dati: la Commissione europea adotta una nuova decisione di adeguatezza per la circolazione sicura e affidabile dei flussi di dati UE-USA

Il 10 Luglio 2023 la Commissione europea ha, ai sensi del citato art. 45 par. 3 GDPR, adottato la decisione di adeguatezza UE-USA per la protezione dei dati personali. La decisione giunge alla conclusione che gli Stati Uniti garantiscono un livello di protezione adeguato – comparabile a quello dell’Unione europea – per i dati personali trasferiti dall’UE alle imprese statunitensi nell’ambito del nuovo quadro per la protezione dei dati personali. Sulla base della nuova decisione di adeguatezza i dati personali possono circolare in modo sicuro dall’UE verso le imprese statunitensi che aderiscono al quadro di riferimento, senza la necessità di ulteriori garanzie per la protezione dei dati.

Il quadro UE-USA per la protezione dei dati personali introduce nuove garanzie vincolanti per far fronte a tutte le preoccupazioni espresse dalla Corte di Giustizia dell’Unione Europea, tra cui la limitazione dell’accesso ai dati dell’UE da parte dei servizi di intelligence statunitensi a quanto necessario e proporzionato e l’istituzione di un tribunale del riesame in materia di protezione dei dati (Data Protection Review Court, DPRC), accessibile ai cittadini dell’UE, che esaminerà e risolverà i reclami in modo indipendente, anche adottando misure correttive vincolanti.

Il nuovo quadro introduce miglioramenti significativi rispetto al meccanismo esistente nell’ambito dello scudo per la privacy. Ad esempio, se il DPRC ritiene che i dati siano stati raccolti in violazione delle nuove garanzie potrà ordinarne la cancellazione.

Le nuove garanzie in materia di accesso ai dati da parte delle pubbliche amministrazioni integreranno gli obblighi che le imprese statunitensi che importano dati dall’UE dovranno sottoscrivere.

Le imprese statunitensi potranno aderire al quadro UE-USA per la protezione dei dati personali impegnandosi a rispettare un insieme dettagliato di misure in materia di privacy, tra cui l’obbligo di cancellare i dati personali quando questi non sono più necessari per lo scopo per il quale sono stati raccolti.

I cittadini dell’UE beneficeranno di vari strumenti di ricorso in caso di trattamento non corretto dei loro dati da parte di imprese statunitensi, quali meccanismi indipendenti gratuiti di composizione delle controversie e un collegio arbitrale.

Inoltre, il quadro giuridico statunitense prevede una serie di garanzie per quanto riguarda l’accesso ai dati trasferiti da parte delle autorità pubbliche statunitensi, in particolare a fini di contrasto penale e di sicurezza nazionale: l’accesso ai dati è limitato a quanto necessario e proporzionato per proteggere la sicurezza nazionale.