Nell’epoca dell’interconnessione globale, la sicurezza dei dati personali è una questione di estrema importanza. La recente decisione riguardante l’EU-US Data Privacy Framework si propone come una risposta concreta e ben ponderata alla sentenza della Corte di Giustizia dell’UE nel caso “Schrems II”. Quest’ultima, come ricorderete, aveva invalidato l’accordo Privacy Shield, gettando un’ombra di incertezza sul criterio di adeguatezza per il trasferimento di dati personali dall’UE agli Stati Uniti.
La decisione di adeguatezza dell’EU-US Data Privacy Framework è frutto di un’analisi approfondita del quadro giuridico statunitense. In altre parole, la Commissione ha valutato che gli Stati Uniti possano offrire garanzie di protezione dei dati personali comparabili a quelle dell’UE. Tuttavia, questa decisione non è immune da critiche e potenziali sfide legali.
Il team di Max Schrems ha sollevato questioni preoccupanti riguardo all’indipendenza del Data Protection Review Court e l’eventuale impatto sulle pratiche di sorveglianza di massa degli Stati Uniti. Il nuovo quadro, infatti, non garantisce l’adeguatezza del trasferimento tout-court, ma la subordina a una serie di garanzie che le imprese statunitensi sono tenute a rispettare.
Tra le garanzie richieste, figurano l’ottenimento del consenso degli utenti per la raccolta di dati personali, la possibilità per gli utenti di trasferire i loro dati da un servizio all’altro (noto come portabilità dei dati) e l’obbligo di segnalare prontamente qualsiasi violazione dei dati. In aggiunta, è prevista la possibilità di sottoporre le aziende a verifiche esterne (audit).
La posizione delle aziende americane
Resta da vedere come le aziende americane sceglieranno di rispondere a questi vincoli, considerando ad esempio le perplessità esistenti sulla capacità di Google Analytics 4 di conformarsi al GDPR non in modo predefinito, ma solo attraverso personalizzazioni la cui responsabilità ricade sull’utente.
Verifiche e obblighi per le aziende europee
Il nuovo EU-US Data Privacy Framework impone quindi alle entità europee che desiderano utilizzare i servizi delle aziende basate negli Stati Uniti e che operano nel settore high-tech di condurre una serie di verifiche prima di poterli utilizzare. È qui che una consulenza in grado di incidere sulla gestione degli obblighi GDPR diventa fondamentale per ogni azienda europea, per valutare correttamente obblighi e rischi derivanti dall’acquisto o dall’utilizzo di servizi forniti dalle aziende statunitensi nel mondo High Tech.
È importante notare che l’EU-US Data Privacy Framework sarà soggetto a revisioni periodiche, la prima delle quali avverrà entro un anno dall’entrata in vigore della decisione di adeguatezza. La conformità delle aziende statunitensi sarà poi supervisionata dal Dipartimento del Commercio degli Stati Uniti.
Un passo significativo, ma con sfide da affrontare
In conclusione, la decisione dell’EU-US Data Privacy Framework rappresenta un passo significativo nel quadro della protezione dei dati tra l’UE e gli Stati Uniti. Nonostante offra sicurezza giuridica alle aziende e rafforzi la protezione dei dati per i cittadini dell’UE, rimangono importanti sfide da affrontare per garantire un equilibrio tra la necessità di flussi di dati transatlantici e il rispetto dei diritti fondamentali alla protezione dei dati personali.