GDPR: NOVITÀ NELLA PROTEZIONE TRANSFRONTALIERA DEI DATI PERSONALI ED IN PARTICOLARE VERSO GLI USA

La protezione dei dati personali, in un mondo in cui circolano oltre ogni confine territoriale, ha richiesto la necessità di un nuovo livello di garanzia, stabilità e certezza per tutti.
È stato considerato quindi necessario un aggiornamento nella disciplina del GDPR sul trasferimento transfrontaliero dei dati. Ed in particolare, nel caso di trasferimento dei dati verso gli USA, ci sono novità sostanziali sul Data Privacy Framework EU-USA.
Sei curioso di conoscere gli ultimi progressi e capire come ci dovremmo comportare per tutelare i nostri dati?
Allora continua a leggere e scopri tutte le novità.

PROTEZIONE DATI PERSONALI – L’OBIETTIVO DI ARMONIZZAZIONE DAVANTI A DISCIPLINE DISTANTI

Ma quando parliamo di trasmissione dei dati personali, in cosa ci stiamo imbattendo?

Fai ben attenzione, perché andiamo incontro a due realtà, disciplinate separatamente e con esigenze e problematicità diverse – la realtà interna all’Unione europea caratterizzata da un principio generale di libera circolazione, e la realtà esterna, in rapporto con Stati terzi, con una circolazione controllata dei dati personali.

Ciò che però accomuna queste situazioni è l’obiettivo, che l’Unione europea si è posta, di armonizzare le discipline degli Stati coinvolti.

Particolare rilevanza assume il rapporto con gli USA, dovuta, sia dall’importanza per l’economia globale dei trasferimenti dei dati, che dal conflitto che si presenta tra le leggi sulla sorveglianza degli Stati Uniti e le leggi sulla protezione dei dati dell’UE che ne richiedono la privacy.

Un netto contrasto che ha portato a una necessità di disciplina della materia, e che ha trovato risposta prima nell’accordo tra governo USA e Commissione UE del 25 marzo 2022, e infine nella recentissima decisione della Commissione europea sull’adeguatezza del Data Privacy Framework EU-USA.

DISCIPLINA GDPR SUL TRASFERIMENTO VERSO STATI TERZI

Prima di addentrarci nel discorso, dedicheremo qualche riga alla disciplina GDPR in cui tali novità si vanno a inserire, per una maggiore chiarezza.

Troviamo in primo luogo un’enunciazione del principio generale per il trasferimento di dati personali nell’art 44 del Regolamento UE 2016/679, oggetto o destinati a un trattamento, verso un paese terzo o un’organizzazione internazionale.

Questo articolo prevede che il trasferimento possa aver luogo solo se il titolare del trattamento e il responsabile del trattamento rispettano determinate condizioni – l’ammissione da parte della Commissione è infatti condizionata dalla garanzia, data dal paese terzo o organizzazione internazionale, di un livello di protezione adeguato, che viene valutato sulla base di diversi criteri, ex art 45 GDPR.

In caso contrario, ossia in mancanza di una decisione sull’adeguatezza da parte della Commissione, il GDPR prevede che il trasferimento di dati personali possa essere effettuato solo se presenti garanzie legali adeguate o autorizzazioni delle autorità di controllo, come ad esempio le clausole contrattuali standard o le regole aziendali vincolanti.

In secondo luogo, il GDPR prevede che le autorità di protezione dei dati degli Stati membri dell’UE cooperino tra loro nei casi transfrontalieri per garantire una risoluzione più rapida delle controversie sul trasferimento dei dati personali.

Troviamo infatti all’art 48 del medesimo Regolamento (GDPR) la regola per cui, “le sentenze di un’autorità giurisdizionale e le decisioni di un’autorità amministrativa di un paese terzo che dispongono il trasferimento o la comunicazione di dati personali da parte di un titolare del trattamento o di un responsabile del trattamento possono essere riconosciute o assumere qualsivoglia carattere esecutivo soltanto se basate su un accordo internazionale in vigore tra il paese terzo richiedente e l’Unione o un suo Stato membro, fatti salvi gli altri presupposti di trasferimento a norma del presente capo”.

DATA PRIVACY FRAMEWORK EU-USA

Ma arriviamo alla parte centrale del discorso.

Finalmente, in data 10 luglio 2023, la Commissione europea ha annunciato la sua decisione rispetto l’adeguatezza del Data privacy Framework (DPF) EU-USA, con cui si è definita l’idoneità degli Stati Uniti di fornire un’adeguata protezione, permettendo così ai dati personali di essere trasferiti liberamente dall’UE verso le società statunitensi partecipanti al DPF.

L’importanza di tale decisione è proprio nella ricostruzione di un vincolo fiduciario sui trasferimenti di dati personali transatlantici, leso dall’invalidazione del precedente Privacy Shield, a causa di dubbi sulla legittimità delle attività delle agenzie di intelligence statunitensi.

Se desideri saperne di più in merito puoi leggere sul nostro blog l’articolo che abbiamo scritto a riguardo.

Questo nuovo quadro normativo in particolare risponde ai dubbi, nati in passato, intervenendo su diversi fronti:

  • Limitando l’accesso ai dati solo se necessario e proporzionato
  • Istituendo un meccanismo di ricorso a due livelli per proteggere i diritti dei cittadini UE
  • Garanzia di specifici diritti per i cittadini dell’Unione
  • Ampliamento delle garanzie da parte del governo statunitense
  • Previsione di un periodico monitoraggio e revisioni sulla conformità del DPF

COME CI DOVREMMO PORRE DAVANTI A QUESTA DECISIONE?

Siamo davanti a una situazione in cui il flusso di dati personali tra Europa e USA è divenuta una realtà irreversibile e impossibile da fermare, anche a causa del valore strategico ed economico che questo ha assunto nel mercato globalizzato.

L’unica risposta possibile è proprio regolamentare la materia e possiamo certamente affermare che, prima l’intervento della Corte di Giustizia che ha spinto verso una rivalutazione, e ad oggi la decisione di adeguatezza della Commissione, abbiano assolto pienamente tale compito, compiendo il primo passo di un lungo cammino, caratterizzato da garanzie e trasparenza.

Un successo e un beneficio quindi, non solo per le imprese dell’intero globo, ma anche per tutti noi cittadini, che troviamo una tutela sempre più ampia nel nuovo mondo digitalizzato.

Se anche tu, per la tua attività, hai necessità di conformarti a quanto prescritto dal GDPR ed evitare possibili sanzioni, contattaci subito.

Scrivici all’indirizzo di posta elettronica info@abinnovationconsulting.com, oppure compila il modulo seguente.