Riportiamo di seguito la traduzione in italiano della Nota informativa, emanata da EDPB (European Data Protection Board) sui trasferimenti dei dati ai sensi del GDPR verso gli Stati Uniti dopo l'adozione della decisione di adeguatezza il 10 luglio 2023.
Il 10 luglio 2023 la Commissione Europea ("la Commissione") ha deliberato la decisione del 10.7.2023 ai sensi del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio sull'adeguatezza del livello di protezione dei dati personali e ai sensi del quadro UE-USA sulla privacy dei dati ("la decisione sull'adeguatezza"), che contiene in allegato il quadro UE-USA sulla privacy dei dati ("DPF").
In tal modo, la Commissione ha deciso che gli Stati Uniti ("USA"), ai fini dell'articolo 45 del Regolamento (UE) 2016/679 ("GDPR"), garantiscono un livello di protezione adeguato per i dati personali trasferiti dall'UE a organizzazioni negli Stati Uniti che sono incluse nella "Data Privacy Framework List", mantenuta e resa pubblica dal Dipartimento del Commercio degli Stati Uniti, conformemente alla sezione I.3 dell'allegato I della decisione sull'adeguatezza.
Prima dell'adozione della presente decisione, il Comitato europeo per la protezione dei dati ("EDPB") ha adottato il proprio parere sul progetto di decisione sull'adeguatezza, in conformità all'articolo 70, paragrafo 1, lettera s), del GDPR.
Il presente documento intende fornire alcuni chiarimenti sulle implicazioni della decisione di adeguatezza per gli interessati nell'UE e per i soggetti che trasferiscono dati personali dall'UE agli USA.
1.Come possono essere trasferiti i dati personali negli Stati Uniti sulla base del DPF?
La decisione di adeguatezza si applica dal 10 luglio 2023. Ciò significa che, a partire da questa data, i trasferimenti dall'UE ad organizzazioni negli Stati Uniti incluse nell'elenco del “Data Privacy Framework List” (DPF) possono basarsi sulla decisione di adeguatezza, senza dover ricorrere agli strumenti di trasferimento previsti dall'articolo 46 del GDPR.
Ciò significa anche che i trasferimenti basati sulla decisione sull'adeguatezza non devono essere integrati da misure supplementari. L'EDPB rimanda alle spiegazioni fornite in merito dalla Commissione.
2.Come si possono trasferire i dati personali negli Stati Uniti se l'importatore dei dati non è incluso nella "Data Privacy Framework List"?
I trasferimenti ad entità negli Stati Uniti, che non sono incluse nel DPF, non possono essere basati sulla decisione di adeguatezza e richiedono adeguate garanzie per la protezione dei dati, diritti applicabili e rimedi legali efficaci per gli interessati (ad esempio, attraverso le clausole standard di protezione dei dati, norme vincolanti d'impresa), in conformità all'articolo 46 del GDPR.
A questo proposito, l'EDPB sottolinea che tutte le garanzie messe in atto dal governo statunitense nell'ambito della sicurezza nazionale (compreso il meccanismo di ricorso) si applicano a tutti i dati trasferiti negli Stati Uniti, indipendentemente dallo strumento di trasferimento utilizzato. Pertanto, nel valutare l'efficacia dello strumento di trasferimento scelto, ai sensi dell'articolo 46 del GDPR , gli esportatori dei dati devono tenere conto della valutazione effettuata dalla Commissione nella decisione sull'adeguatezza.
3.Gli interessati nell'UE possono presentare reclami ai sensi del DPF?
Le persone i cui dati sono trasferiti negli Stati Uniti in base alla decisione sull'adeguatezza hanno a disposizione diversi meccanismi di ricorso se ritengono che l'organizzazione statunitense interessata non sia conforme al DPF. Le persone sono incoraggiate a sollevare innanzitutto eventuali reclami con l'organizzazione statunitense interessata. In caso di domande, le organizzazioni dell'UE possono, se necessario, chiedere il parere delle autorità di protezione dei dati competenti per la supervisione delle attività di trattamento in questione.
4.Come possono gli interessati dell'UE avvalersi del nuovo meccanismo di ricorso in materia di sicurezza nazionale?
Indipendentemente dallo strumento di trasferimento utilizzato per trasferire i propri dati personali negli Stati Uniti, gli interessati dell'UE possono presentare un reclamo alla propria autorità nazionale di protezione dei dati per avvalersi del nuovo meccanismo di ricorso nel settore della sicurezza nazionale. L'autorità nazionale per la protezione dei dati, a sua volta, garantirà che il reclamo venga consegnato all'EDPB, che lo trasmetterà alle autorità statunitensi competenti per la gestione del reclamo. Inoltre, l'autorità di protezione dei dati garantirà che all'interessato vengano fornite informazioni sul processo di gestione del reclamo, anche per quanto riguarda l'esito del reclamo presentato. Affinché un reclamo sia ammissibile, non hanno bisogno di dimostrare che i loro dati sono stati effettivamente raccolti dalle agenzie di intelligence statunitensi.
5.La decisione sull'adeguatezza sarà riesaminata?
Il primo riesame della decisione sull'adeguatezza avrà luogo un anno dopo la sua entrata in vigore, per verificare se tutti gli elementi sono stati pienamente attuati ed efficaci nella pratica. Dopo il primo riesame e in base al suo esito, la Commissione deciderà, in consultazione con l'EDPB e gli Stati membri dell'UE, la periodicità dei riesami successivi, che avranno comunque luogo almeno ogni quattro anni. L'EDPB e i suoi membri sono pronti a partecipare attivamente a questa valutazione.
Lo Staff IusPrivacy è a disposizione per rispondere a tutte le richieste di informazioni inerenti al tema in oggetto.
Contatti <https://www.iusprivacy.eu/contatti.jsp>
Cordiali saluti
Staff IusPrivacy