Pubblicazioni | Edoardo Ricci Avvocati

la decisione di adeguatezza del 10 luglio 2023, il Data Privacy Framework e le loro implicazioni alla luce della Information Note EDPB del 19 luglio 2023

Il 10 luglio scorso la Commissione Europea ha adottato la decisione di adeguatezza del sistema giuridico statunitense rispetto alla tutela ed alla circolazione dei dati personali negli USA.

Con la predetta decisione di adeguatezza la Commissione ha “certificato”, ai sensi dell’art. 45 del GDPR, l’attitudine dell’ecosistema normativo statunitense a garantire un livello di sicurezza adeguato ai dati personali oggetto di futuri trasferimenti verso gli USA.

A questo riguardo, è importante precisare che una qualsiasi decisione di adeguatezza a favore di uno stato terzo o di una organizzazione internazionale ai sensi dell’art. 45 del GDPR, in concreto, consente di trasferirvi/trasferirle dati personali senza necessità di “autorizzazioni specifiche”, equiparando dunque tali trasferimenti, altrimenti qualificabili come transfrontalieri, a quelli tra Stati Membri della UE (che invece transfrontalieri non sono).

Per completare il quadro, in modo da cogliere le implicazioni della decisione di adeguatezza sopra richiamata (così come di altri materiali generati in conseguenza di essa) è altresì necessario aggiungere che, qualora non esista una decisione di adeguatezza, i trasferimenti transfrontalieri di dati personali sono leciti solo qualora, ai sensi dell’art. 46 del GDPR, esistano “condizioni adeguate” al loro dispiegarsi.

Tali “condizioni adeguate” in sintesi sono:

uno strumento giuridicamente vincolante, avente efficacia esecutiva tra autorità od organismi pubblici;

le norme vincolanti di impresa (oggetto dell’art. 47 del GDPR);

le clausole contrattuali standard di protezione dei dati personali adottate dalla Commissione e le analoghe clausole adottate dai Garanti nazionali ed approvate dalla Commissione.

Le implicazioni di tutto ciò sono gigantesche, considerando l’intrinseca centralità dei dati personali per l’economia globale da un lato, e considerando l’interconnessione ad oggi irrinunciabile ed inscindibile delle economie degli Stati Uniti e della Unione Europea.

Ma tali implicazioni sono ancora più centrali ove si ricordi che, a fronte della importanza dei dati personali per gli scambi economici ed a fronte della interconnessione delle rispettive economie, nella storia recente i trasferimenti dei dati personali dalla UE verso gli USA, sono stati per un certo non irrilevante lasso di tempo assai complicati poiché (senza entrare in dettagli ora ancillari nel contesto del presente contributo) il predetto “giudizio di adeguatezza” della Commissione era venuto meno, obbligando i titolari del trattamento a ricorrere, in modo assai macchinoso e costoso, agli strumenti alternativi di trasferimento oggetto dell’art. 46 del GDPR sopra riepilogati.

Dal 10 luglio del 2023, dunque, la lucrosissima e pressoché imprescindibile “giostra” dei trasferimenti dei nostri dati personali verso gli USA può ripartire per la gioia dei titolari dei trattamenti Europei ed USA (a partire dalle big tech).

Se il meccanismo appena descritto in sé stesso appare chiaro – i nostri dati personali possono nuovamente essere oggetto di trasferimento verso gli USA in ragione del recente e nuovo giudizio “di adeguatezza” della Commissione – meno chiaro ne è il funzionamento.

Della necessità di qualche chiarimento è consapevole il EDPB, che infatti ha pubblicato una information note al riguardo lo scorso 19 luglio.

Di questo documento è dunque necessario rendere conto per avere una idea precisa di come la “giostra” dei trasferimenti di dati personali verso gli USA funzioni oggi.

Si dica allora, in primo luogo, che i trasferimenti resi leciti dal giudizio di adeguatezza sono esclusivamente quelli diretti verso i soggetti presenti nella Data Privacy Framework List compilata, aggiornata e pubblicata dal Dipartimento del Commercio del governo federale.

Al contrario, i trasferimenti di dati personali verso soggetti non presenti nel Data Privacy Framework List sono leciti solo qualora venga implementa una tra le misure di salvaguardia elencate dall’art. 46 del GDPR; come detto sopra:

uno strumento giuridicamente vincolante, avente efficacia esecutiva tra autorità od organismi pubblici;

le norme vincolanti di impresa (oggetto dell’art. 47 del GDPR);

le clausole contrattuali standard di protezione dei dati personali adottate dalla Commissione e le analoghe clausole adottate dai Garanti nazionali ed approvate dalla Commissione.

Quanto al delicato tema dei trattamenti effettuati sui nostri dati personali dalle agenzie di sicurezza statunitensi, che in passato hanno giustificato il venir meno del precedente giudizio di adeguatezza, qualora essi siano ritenuti eversivi rispetto alla copertura prevista dal GDPR, è prevista una procedura di reclamo particolare e per così dire agevolata: i titolari dei dati potranno infatti indirizzare il loro reclamo ai Garanti nazionali, i quali poi li trasferiranno al EDPB, che a sua volta li veicolerà alle competenti autorità USA con modalità e formalità tali da garantirne ammissibilità e efficiente e veloce. Delibazione.

Infine, la prima revisione del giudizio di adeguatezza è prevista ad 1 anno esatto dalla sua adozione; dunque, il 10 luglio 2024.

Da quel momento verrà concordata la periodicità delle successive revisioni, che peraltro non potrà superare i 4 anni.

Alla luce di tutto ciò, si può dire che il nodo dei trasferimenti dei dati personali verso gli USA sia stato definitivamente sciolto?

Dare una risposta univoca non è semplice: se infatti da un lato è chiaro che il flusso dei trasferimenti si possa ora dire effettivamente lecito e certamente più fluido rispetto al recente passato, è meno chiaro quanto questo stato di cose permarrà ed addirittura se permarrà.

Sono molte, infatti, le voci critiche che si stanno levando contro il nuovo giudizio di adeguatezza e contro le garanzie poste dal Data Privacy Fremework, da molti giudicate insufficienti, ad esempio con riferimento al permanere della possibilità di trattamenti dei nostri dati personali per motivi di sicurezza nazionale da parte dei preposti organismi statunitensi.

Il quadro della situazione non è dunque così chiaro come sembra, ma, nel contempo, è innegabile che esso sia se non altro più sereno e virtuoso per il dipanarsi degli scambi economi tra Unione Europea e Stati Uniti d’America.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Menu

Menu

Category: Pubblicazioni

Tornano ad essere leciti i trasferimenti di dati personali verso gli USA: