Transatlantic Data Protection Framework
Il nuovo Framework per la Privacy dei Dati Transatlantico: Soluzione completa per la conformità al GDPR o mero tentativo?
A seguito della recente decisione di adeguatezza della Commissione Europea sul “Data Privacy Framework” (DPF), il Comitato Europeo per la Protezione dei Dati (EDPB) ha adottato una nota informativa fornendo indicazioni sul trasferimento di dati personali negli Stati Uniti. La decisione della Commissione, adottata il 10 luglio 2023, sostiene che gli Stati Uniti offrono un adeguato livello di protezione dei dati personali trasferiti dall’UE a quelle organizzazioni americane incluse nel DPF.
Nonostante questa affermazione, è importante notare che il DPF, come recente schema su come la privacy dei dati dovrebbe essere gestita a livello internazionale tra l’UE e gli USA, non sembra essere ancora completamente in linea con il Regolamento Generale sulla Protezione dei Dati (GDPR). Il motivo risiede nella sua natura giuridica: il DPF si basa principalmente su un ordine esecutivo USA (EO 14086), non su una legge.
Un ordine esecutivo è un tipo di atto unilaterale emesso dal Presidente degli Stati Uniti, che può crearlo, modificarlo o revocarlo in qualsiasi momento, senza necessità di approvazione da parte del Congresso USA. Pertanto, benché venga visto come una sorta di “legge istantanea”, non è effettivamente una legge, fatto che solleva dubbi sulla sua conformità al GDPR e alla Corte di Giustizia dell’Unione Europea.
Inoltre, il DPF non prevede misure supplementari per i trasferimenti di dati personali non inclusi nell’elenco delle organizzazioni previsto dallo stesso DPF. Ciò richiede l’adozione di ulteriori tutele, come clausole tipo di protezione dei dati o norme vincolanti d’impresa. Il meccanismo di ricorso messo in atto dagli USA nell’ambito della sicurezza nazionale si applica a tutti i dati trasferiti, indipendentemente dallo strumento di trasferimento utilizzato.
La nuova struttura può essere realmente considerata conforme al GDPR, dato che il suo sostegno fondamentale non è legato alla legislazione e che in ogni caso esiste ancora l’ordine esecutivo EO 12333 (United States Intelligence Activities)?
Fino a quando non verrà raggiunto un accordo legale chiaro, forse è consigliabile che ciascuno si assuma la responsabilità della propria privacy dei dati, per prevenire che questi attraversino l’Atlantico nelle mani di organismi di intelligence stranieri e terze parti poco trasparenti.
Link al documento:
