Nuovo quadro sulla privacy dei dati UE-USA e scuole-

La decisione di adeguatezza per l'EU-US Data Privacy Framework afferma che gli Stati Uniti garantiscono adesso un adeguato livello di protezione – paragonabile a quello dell'Unione Europea – per i dati personali trasferiti dall'UE alle aziende statunitensi nell'ambito del nuovo quadro.

Il 10 luglio 2023 la Commissione Europea ha adottato la decisione di adeguatezza per l’EU-US Data Privacy Framework. L’adozione è immediatamente esecutiva/efficace.

Si chiude così, almeno temporaneamente, una situazione di incertezza giuridica che si protraeva da tre anni, pesando su pubbliche amministrazioni e aziende utilizzatrici di servizi digitali USA, dopo che la Corte di Giustizia Europea aveva invalidato il EU-U.S. Privacy Shield con la sentenza Schrems II. Il Framework UE-USA sulla privacy dei dati introduce adesso nuove salvaguardie vincolanti per affrontare tutte le preoccupazioni sollevate dalla Corte di Giustizia Europea, limitando l’accesso ai dati dell’UE da parte dei servizi di intelligence statunitensi a ciò che è necessario e proporzionato, e istituendo un Tribunale di Revisione sulla Protezione dei Dati (Data Protection Review Court, DPRC), a cui gli individui dell’UE avranno accesso. Il nuovo quadro introduce significativi miglioramenti.

Le nuove salvaguardie nel settore dell’accesso ai dati da parte del governo completeranno gli obblighi a cui le aziende statunitensi che importano dati dall’UE dovranno sottostare.

Le aziende statunitensi potranno aderire all’EU-U.S. Data Privacy Framework impegnandosi a rispettare un dettagliato insieme di obblighi in materia di privacy, ad esempio l’obbligo di cancellare i dati personali quando non sono più necessari per lo scopo per cui sono stati raccolti, e di garantire la continuità della protezione quando i dati personali vengono condivisi con terze parti.

Gli individui dell’UE beneficeranno di diverse vie di ricorso nel caso in cui i loro dati vengano gestiti in modo errato dalle aziende statunitensi. Questo include meccanismi di risoluzione delle controversie indipendenti e gratuiti e un panel di arbitrato.

La normativa statunitense prevede una serie di salvaguardie riguardanti l’accesso ai dati trasferiti nell’ambito del nuovo quadro, per cui l’accesso ai dati è limitato a ciò che è necessario e proporzionato per proteggere la sicurezza nazionale.

I residenti in Unione Europea avranno accesso a un meccanismo di ricorso indipendente e imparziale riguardante la raccolta e l’uso dei loro dati da parte delle agenzie di intelligence statunitensi, che include un appena creato Tribunale di Revisione sulla Protezione dei Dati (DPRC). Il Tribunale indagherà e risolverà in modo indipendente i reclami, compresa l’adozione di misure correttive che risulteranno vincolanti.

Le salvaguardie messe in atto dagli Stati Uniti faciliteranno anche in generale i flussi di dati transatlantici.

Il funzionamento dell’EU-U.S. Data Privacy Framework sarà soggetto a revisioni periodiche, da effettuarsi dalla Commissione Europea, insieme ai rappresentanti delle autorità europee per la protezione dei dati e le competenti autorità statunitensi.

La prima revisione avrà luogo entro un anno dall’entrata in vigore della decisione di adeguatezza, al fine di verificare che tutti gli elementi rilevanti siano stati pienamente implementati nel quadro giuridico statunitense e stiano funzionando efficacemente nella pratica.

Le novità per le scuole