Home

Internal

Global

Contatto

Rödl & Partner ha prestato la propria consulenza per il perfezionamento dell'acquisizione del Gruppo italiano FGV da parte di Hettich |

In tutto il mondo

Utilizziamo cookie tecnici per personalizzare il sito web e offrire all’utente un servizio di maggior valore. Chiudendo il banner e continuando con la navigazione verranno installati nel Suo dispositivo i cookie tecnici necessari ai fini della navigazione nel Sito. L’installazione dei cookie tecnici non richiede alcun consenso da parte Sua. Ulteriori informazioni sono contenute nella nostra Cookie Policy.

Nuova decisione di adeguatezza UE-US: cosa cambia con il Data Privacy Framework

Ultimo aggiornamento del 19.07.2023 | Tempo di lettura ca. 3 minuti

Il Data Privacy Framework (“DPF”), ossia la decisione di adeguatezza sugli Stati Uniti d’America, è stata adottata il 10 luglio 2023 ed è immediatamente applicabile.

Si tratta di una importante novità: infatti, prima di questo momento, il titolare (o responsabile) che avesse effettuato trasferimento di dati personali dall’Europa agli USA avrebbe dovuto prima di tutto verificare il livello di protezione offerto dal Paese importatore e dall’importatore stesso e, in caso di esito positivo di tale verifica, avrebbe potuto predisporre il set di clausole da allegare al contratto principale (diversamente da quanto accadeva nel periodo antecedente, quando il trasferimento di dati veniva agevolmente gestito con la compilazione e l’allegazione delle SCC, a livello prettamente documentale).

I titolari ed i responsabili, negli ultimi due anni, hanno provveduto all’aggiornamento delle procedure per la qualifica e la gestione delle terze parti, andando a prevedere specifiche previsioni in caso di trasferimento negli USA e più in generale in Paesi non coperti da decisioni di adeguatezza.

In altri casi, poi, hanno compiuto vere e proprie assunzioni di rischio. Oggi invece il Paese è ritenuto dalla Commissione Europea dotato di un livello di protezione dei dati equivalente a quello offerto dall’Unione Europea. Ciò è stato reso possibile grazie al lavoro normativo svolto, su impulso del governo Biden, per riequilibrare le previsioni in materia di trattamento e accesso ai dati personali degli Stati Uniti in modo tale da garantire un sistema pienamente democratico ed equiparabile a quello europeo.

Con il Data Privacy Framework vengono ora temperati i poteri pubblici per finalmente offrire una garanzia di riservatezza: in particolare, il DPF fornisce alle persone dell'UE i cui dati saranno trasferiti alle società partecipanti negli Stati Uniti diversi nuovi diritti (ad esempio, ottenere l'accesso ai propri dati o la correzione o la cancellazione di dati errati o trattati illegalmente). Inoltre, offre diverse vie di ricorso nel caso in cui i dati siano trattati in modo scorretto, tra cui meccanismi indipendenti e gratuiti di risoluzione delle controversie e un collegio arbitrale.

Il governo degli Stati Uniti ha infatti istituito un nuovo meccanismo di ricorso a due livelli, con autorità indipendente e vincolante, che prevede che in primis il ricorso venga presentato al cosiddetto "responsabile della protezione delle libertà civili" della comunità di intelligence statunitense, potendosi successivamente appellare alla decisione del funzionario per la protezione delle libertà civili davanti alla Corte di revisione della protezione dei dati (DPRC), di recente introduzione. Altro elemento essenziale del quadro giuridico statunitense su cui si basa la decisione di adeguatezza riguarda l'Executive Order on "Enhancing Safeguards for United States Signals Intelligence Activities".

Per i cittadini europei l'ordine esecutivo prevede: garanzie vincolanti che limitano l'accesso ai dati da parte delle autorità di intelligence statunitensi a quanto necessario e proporzionato per proteggere la sicurezza nazionale; una maggiore supervisione delle attività dei servizi di intelligence statunitensi per garantire il rispetto delle limitazioni alle attività di sorveglianza; l'istituzione del meccanismo di ricorso indipendente e imparziale anzidetto.

Il GDPR prescrive la verifica non solo del livello di protezione offerto dal Paese importatore, ma anche delle misure tecniche ed organizzative implementate dall’importatore stesso (l’azienda che riceve i dati trasferiti dall’Europa).

Se l’azienda destinataria dei dati non risulterà certificata, in ogni caso, le salvaguardie messe in atto dal governo statunitense nell'ambito della sicurezza nazionale si applicano a tutti i trasferimenti di dati ai sensi del GDPR e pertanto i dati potranno essere trasferiti previa valutazione dell’importatore e adozione di garanzie ulteriori.

Il modo per verificare lo stato di compliance dell’importatore rimarrà quello dello svolgimento di Data Transfer Impact Assessment: i titolari potranno organizzare discrezionalmente le verifiche, optando per checklist o apposite interviste con i fornitori.