Eliminare i dati personali quando non sono più necessari per lo scopo per il quale sono stati raccolti, garantire la protezione dei dati condivisi con terzi, possibilità di ricorso in caso di scorretta gestione: sono alcuni degli obblighi che avranno le aziende statunitensi che decideranno di aderire al nuovo Data Privacy Framework siglato da Stati Uniti e Unione Europea il 10 luglio.
Un regolamento che, sostanzialmente, estende l’applicazione del GDPR alle aziende USA ma su base però volontaria. In questo modo, gli utenti europei (imprese, pubbliche amministrazioni, e privati cittadini) potranno avere la sicurezza di una legislazione omogenea sulla protezione dei propri dati.
Le Regole del nuovo Data Privacy Framework
L’accordo si inserisce nell’ambito del GDPR, il Regolamento europeo sulla protezione dei dati, recepito da tutti gli Stati membri, in base al quale la Commissione può stipulare accordi affinché un paese terzo garantisca un livello di protezione dati personali equivalente a quello nell’UE.
«Il nuovo quadro UE-USA sulla privacy dei dati – spiega la presidente della Commissione Ue, Ursula von der Leyen – garantirà flussi di dati sicuri per gli europei e porterà certezza del diritto alle aziende su entrambe le sponde dell’Atlantico».
Gli Stati Uniti assicurano infatti un livello di protezione adeguato, paragonabile a quello dell’Unione Europea, per i dati personali trasferiti dall’UE alle società statunitensi nell’ambito del nuovo quadro.
L’accordo si muove nel rispetto delle deliberazioni della Corte di Giustizia Ue, limitando per esempio l’accesso ai dati da parte dei servizi di intelligence statunitensi (che invece hanno la possibilità di chiedere alle società americane i dati personali).
Obblighi di privacy per le società USA
Le società statunitensi che aderiranno al Data Privacy Framework UE-USA dovranno rispettare nuovi obblighi di privacy per quanto riguarda i dati provenienti dall’Unione Europea:
- eliminare i dati personali quando non sono più necessari per lo scopo per il quale sono stati raccolti;
- minimizzazione dei dati;
- regole sulla conservazione dei dati;
- garantire la continuità della protezione quando i dati personali sono condivisi con terzi.
Vantaggi per gli utenti UE
Fra i vantaggi per gli utenti europei, la possibilità di accesso a un meccanismo di ricorso indipendente e imparziale per quanto riguarda la raccolta e l’utilizzo dei dati da parte delle agenzie di intelligence statunitensi, che comprende un tribunale per il riesame della protezione dei dati (DPRC) di nuova creazione. La Corte indagherà e risolverà autonomamente i reclami, anche adottando misure correttive vincolanti.
L’effetto delle decisioni di adeguatezza è che i dati personali possono fluire liberamente dall’UE (e Norvegia, Liechtenstein e Islanda) verso un paese terzo senza ulteriori ostacoli. La Corte di Giustizia Ue aveva annullato il precedente accordo con gli Usa dando il via a un negoziato che alla fine ha portato al nuovo Data protection framework.