E’ in vigore dall’ 11 luglio scorso il Data Privacy Framework, l’accordo tra USA e EU sul trasferimento dei dati personali .
L’accordo consente la ripresa del trasferimento dei dati oltreoceano, che due sentenze della Corte di Giustizia dell’Unione Europa – le sentenze cosiddette “Schrems I” e “Schrems II” – avevano bloccato, invalidando il quadro normativo precedentemente in vigore sulla materia.
C’era il rischio che , una volta trasferiti su database e server americani, i dati fossero accessibili alle agenzie di intelligence statunitensi che avrebbero potuto usarli per operazioni di sicurezza pubblica, cybersorveglianza e warfare.
Il nuovo accordo USA EU sul trasferimento dei dati personali applica il principio cardine del GDPR della proporzionalità anche al trasferimento verso e al trattamento dei dati personali da parte di soggetti di paesi terzi e prevede in particolare che le agenzie governative e di sicurezza americane possano accedere ai dati dei cittadini europei solo in misura limitata e proporzionata allo scopo per cui lo fanno.
Anche le aziende americane che trattano per scopi commerciali i dati personali dei cittadini europei dovranno sottoscrivere il nuovo accordo, impegnandosi a rispettare obblighi e standard elevati in materia di privacy. Oltre a raccogliere dati in misura proporzionale, dovranno assicurarne la cancellazione quando non risultano più necessari e garantire, se li condividono con terze parti, la continuità della protezione, ossia che anche le ultime trattino i dati in maniera conforme alle previsioni europee sulla privacy.
Inoltre il Data Privacy Network ha introdotto il Data Protection Review Court (DPRC): un organismo di riesame a cui si potrà fare ricorso in caso di dubbi su come aziende o agenzie americane trattano i dati personali degli europei. Il DPRC potrà imporre la cancellazione forzosa dei dati ottenuti o trattati in maniera non conferme, e le decisioni saranno vincolanti .
Il nuovo accordo e i suoi effetti concreti saranno sottoposti a riesami periodici da parte sia della Commissione e dei garanti privacy europei e sia delle autorità americane competenti: il primo è previsto a luglio 2024.
