Il trasferimento di dati personali verso Paesi extra europei o verso un’organizzazione internazionale è consentito a condizione che l’idoneità del Paese terzo o dell’organizzazione sia riconosciuta tramite una decisione di adeguatezza della Commissione europea.
Il 10 luglio 2023 la Commissione europea ha adottato la decisione di adeguatezza sul quadro UE-USA per la protezione dei dati personali che si basa sul principio per cui la data protection statunitense è ormai equiparabile a quella europea, pertanto i dati personali possono circolare in modo sicuro dall’Unione Europea verso le imprese statunitensi che partecipano al quadro, senza la necessità di ulteriori garanzie per la protezione dei dati.
Ciò è avvenuto anche grazie al parere 5/2023 dell’EDPB sul progetto di decisione di esecuzione della Commissione europea, che ha accolto positivamente i miglioramenti adottati rispetto al precedente quadro normativo, segnalando anche proposte da includere nella decisione definitiva.
Nella nuova decisione di adeguatezza per il trasferimento dati UE-USA, le aziende statunitensi potranno aderire al Data Privacy Framework sul trasferimento dei dati UE-USA impegnandosi a rispettare una serie dettagliata di obblighi in materia di privacy:
- cancellare i dati personali quando non sono più necessari per lo scopo per cui sono stati raccolti;
- garantire la continuità della protezione quando i dati personali sono condivisi con terzi;
- operare secondo le regole del GDPR in termini di privacy by design e by default.
Inoltre i cittadini dell’UE avranno accesso a un meccanismo di ricorso indipendente e imparziale per quanto
riguarda la raccolta e l’uso dei loro dati da parte delle agenzie di intelligence statunitensi.
Tale meccanismo comprende un tribunale del riesame in materia di protezione dei dati (DPRC), di nuova creazione, composto da giudici nominati al di fuori degli USA, che esaminerà e risolverà i reclami in modo indipendente, anche adottando misure correttive vincolanti.
Infine il funzionamento del quadro UE-USA per la protezionedei dati personali sarà oggetto di riesame periodico da parte della Commissione europea.
Tale attività potrà concludersi con una modifica della decisione di adeguatezza o in altre circostanze con la sua sospensione o con la revoca (art. 45, par. 3-5 GDPR).
