Privacy ue-usa

Data Privacy Framework: l’EDPB chiede più controlli sulle aziende certificate



Indirizzo copiato

Nella relazione sul primo riesame del quadro UE-USA in materia di protezione dei dati personali (Data Privacy Framework, DPF), EDPB accoglie gli sviluppi del framework ma sottolinea criticità sulla gestione dei dati delle organizzazioni inattive e sul sistema dei reclami

Pubblicato il 13 nov 2024

Anna Cataleta

Senior Partner di P4I e Senior Advisor presso l’Osservatorio Cybersecurity & Data Protection (MIP)

Aurelia Losavio

Privacy IT Legal Consultant at P4I



privacy, G7 Garanti privacy 2024 (1)

Lo scorso 5 novembre lo European Data Protection Board ha adottato la sua prima relazione sul primo riesame del quadro UE-USA in materia di protezione dei dati personali (Data Privacy Framework, DPF) e una dichiarazione sulle raccomandazioni sull’accesso ai dati per una efficace attività di contrasto.

È importante ricordare che il 10 luglio 2023, la Commissione europea ha adottato la sua decisione di adeguatezza per il Framework UE-USA sulla privacy dei dati. Tale decisione è arrivata dopo ben diciotto mesi di negoziati in seguito all’invalidazione del precedente accordo sul trasferimento (EU-US Privacy Shield, adottato nel 2016 dopo l’invalidazione dell’accordo Safe Harbour) a seguito della sentenza Schrems II della Corte di Giustizia dell’Ue (16 luglio 2020).

In particolare, il Data Privacy Framework UE-USA ripristina un importante meccanismo per il trasferimento transfrontaliero di dati personali e introduce limitazioni all’accesso delle agenzie di sorveglianza statunitensi ai dati UE oltre a quanto “necessario e proporzionato”, nonché un meccanismo indipendente di risoluzione delle controversie.

I punti fondamentali della relazione dell’EDPB

Con riguardo alle osservazioni dell’EDPB, in primo luogo, è bene sottolineare che essa accoglie con favore gli sforzi compiuti dalle autorità statunitensi e dalla Commissione europea per attuare il Data Privacy Framework e prende atto dei diversi sviluppi intervenuti dall’adozione della decisione di adeguatezza nel luglio 2023.

Con riguardo agli aspetti commerciali, vale a dire l’applicazione dei requisiti applicabili alle imprese autocertificate nell’ambito di tale quadro, l’EDPB osserva che il Dipartimento del commercio degli Stati Uniti ha adottato tutte le misure pertinenti per attuare il processo di certificazione. 

Ciò include lo sviluppo di un nuovo sito web, l’aggiornamento delle procedure, il coinvolgimento con le aziende e lo svolgimento di attività di sensibilizzazione. 

Meccanismo di autocertificazione: serve un monitoraggio proattivo

Tuttavia, l’EDPB ritiene necessario un monitoraggio proattivo da parte delle autorità competenti per quanto riguarda il meccanismo di autocertificazione. In particolare, nel report l’EDPB evidenzia che sebbene al momento della revisione vi fossero più di 2800 organizzazioni elencate come partecipanti attivi al DPF, ve ne erano anche più di 1100 che si erano ritirate dal DPF; mentre erano 2600 quelle elencate come inattive perché avevano lasciato scadere la loro certificazione.

Per questo è fondamentale verificare se le organizzazioni che si ritirano dal DPF o che lasciano scadere la loro certificazione restituiscono, cancellano o conservano i dati personali ricevuti nell’ambito del DPF. Infatti, se l’organizzazione conserva i dati, è obbligata a continuare ad applicare i principi del DPF e a identificare un punto di contatto per ulteriori contatti.

L’EDPB evidenzia che finora il sito web del DPF non mostra se le organizzazioni inattive hanno scelto di restituire, cancellare o conservare i dati personali. Inoltre, per i casi in cui le organizzazioni hanno lasciato scadere la loro certificazione, non è chiaro se i dati ricevuti siano stati restituiti, cancellati o conservati. Dunque, dato il numero significativo di partecipanti inattivi al DPF, questo sarà uno degli aspetti che l’EDPB seguirà durante la prossima revisione.

Il meccanismo di ricorso per i cittadini Ue e gli orientamenti sulla gestione delle denunce

È stato poi attuato il meccanismo di ricorso per i cittadini dell’UE e sono stati pubblicati orientamenti completi sulla gestione delle denunce. Tuttavia, l’EDPB evidenzia che il basso numero di denunce ricevute finora e ciò denota una scarsa fiducia in questo meccanismo; pertanto, è importante che le autorità statunitensi avviino attività di monitoraggio riguardanti la conformità delle società certificate DPF ai principi del framework. In questo modo, l’EDPB auspica a garantire una sicurezza effettiva dei cittadini Ue che non sia meramente formale.

L’EDPB incoraggia anche l’elaborazione di orientamenti da parte delle autorità statunitensi, chiarendo i requisiti che le imprese certificate come DPF dovrebbero rispettare quando trasferiscono i dati personali ricevuti dagli esportatori dell’UE. L’EDPB esprime la propria disponibilità a fornire riscontri su tali documenti di orientamento.

L’accesso da parte delle autorità Usa ai dati personali trasferiti a organizzazioni certificate

Per quanto riguarda l’accesso da parte delle autorità pubbliche statunitensi ai dati personali trasferiti dall’UE a organizzazioni certificate, l’EDPB si è concentrata, in particolare, sull’effettiva attuazione delle garanzie introdotte dall’Executive Order 14086 nel quadro giuridico statunitense, quali i principi di necessità e proporzionalità e il nuovo meccanismo di ricorso. Il comitato ritiene che gli elementi del meccanismo di ricorso siano in vigore, ma rinnova comunque l’invito alla Commissione europea a monitorare il funzionamento pratico delle diverse salvaguardie, ad esempio l’attuazione dei principi di necessità e proporzionalità.

Conclusioni

Il report dell’EDPB è fondamentale per la corretta attuazione delle garanzie e dei meccanismi previsti dal nuovo accordo Ue-USA sui trasferimenti.

In proposito, Zdravko Vukić, vicepresidente dell’EDPB, ha dichiarato: “Siamo lieti che dall’adozione della decisione di adeguatezza siano stati compiuti progressi grazie alla proficua cooperazione tra le autorità statunitensi, la Commissione europea e l’EDPB. Allo stesso tempo, c’è ancora spazio per miglioramenti e dovremmo continuare a lavorare insieme per mantenere un elevato livello di protezione dei dati e salvaguardare i diritti e le libertà dei cittadini dell’UE”.

Dunque, non resta che attendere l’eventualità per cui le indicazioni del board siano correttamente recepite; circostanza, questa, non scontata e che giustifica la raccomandazione dell’EDPB a dare luogo al prossimo riesame della decisione di adeguatezza entro tre anni o meno.

EU Stories - La coesione innova l'Italia

Tutti
Social
Iniziative
Video
Analisi
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4