Il Comitato europeo per la protezione dei dati (EDPB) ha recentemente adottato una nota informativa rivolta alle persone fisiche e alle organizzazioni coinvolte nei trasferimenti di dati personali negli Stati Uniti. La finalità del documento è fornire indicazioni chiare e oggettive sull’impatto della recente decisione di adeguatezza emessa dalla Commissione UE riguardante i trasferimenti di dati personali negli USA, con particolare riferimento alle implicazioni relative al Data Privacy Framework (DPF) e al nuovo meccanismo di ricorso in materia di sicurezza nazionale.
La nota informativa evidenzia che i trasferimenti di dati basati su decisioni di adeguatezza emanate dalla Commissione UE non richiedono l’implementazione di ulteriori misure di sicurezza. Al contrario, nel caso dei trasferimenti verso gli Stati Uniti non inclusi nell’elenco previsto dal Data Privacy Framework, è necessario prevedere adeguate protezioni, come l’utilizzo di clausole standard di protezione dei dati o norme vincolanti d’impresa. L’EDPB sottolinea inoltre che tutte le garanzie fornite dal governo degli Stati Uniti relative alla sicurezza nazionale, compreso il meccanismo di ricorso (redress), si applicano a tutti i dati trasferiti negli Stati Uniti, indipendentemente dallo strumento di trasferimento utilizzato.
La nota informativa specifica, inoltre, che per quanto riguarda la sicurezza nazionale, i cittadini dell’UE possono avvalersi del nuovo meccanismo di ricorso presentando un reclamo alla propria Autorità nazionale di protezione dei dati, indipendentemente dallo strumento utilizzato per il trasferimento dei dati personali negli Stati Uniti.
La Commissione europea ha adottato la decisione di adeguatezza il 10 luglio 2023, stabilendo che gli Stati Uniti garantiscono un livello adeguato di protezione dei dati personali trasferiti dall’UE alle organizzazioni statunitensi incluse nella lista del Data Privacy Framework, gestita e pubblicata dal Dipartimento del Commercio degli Stati Uniti.
Va ricordato che il Comitato europeo per la protezione dei dati aveva già espresso il proprio parere sul progetto di decisione di adeguatezza della Commissione lo scorso febbraio, con l’obiettivo di chiarire le implicazioni per gli interessati nell’UE e per le organizzazioni coinvolte nei trasferimenti di dati personali negli Stati Uniti.
La decisione di adeguatezza sarà soggetta a un primo riesame il prossimo anno per verificare l’effettiva attuazione ed efficacia di tutti gli elementi. A seguito di questo primo riesame, e in base al suo esito, la Commissione definirà la cadenza dei successivi riesami, previa consultazione dell’EDPB e degli Stati membri. Tuttavia, è stabilito che il riesame dovrà essere effettuato almeno ogni quattro anni.
Fonte: Garante Privacy