Il 10 luglio 2023 la Commissione europea ha adottato la decisione di adeguatezza per il trasferimento di dati personali dall’UE agli USA.
La Commissione ha riconosciuto formalmente che gli Stati Uniti garantiscono un livello adeguato di protezione dei dati personali trasferiti dall'UE a quelle organizzazioni statunitensi incluse nella lista indicata dal Data Privacy Framework, che è gestita e pubblicata dal Dipartimento del commercio Usa. Per avvalersi del Data Privacy Framework, le organizzazioni statunitensi devono autocertificare l'adesione ai principi, attuare una privacy policy conforme ad essi, prevedere un meccanismo indipendente di soluzione delle controversie relative al trattamento illecito dei dati. Il Dipartimento del Commercio USA riceve le autocertificazioni, effettua i necessari controlli e, infine, include le organizzazioni nella Data Privacy Framework List, resa pubblica online e annualmente aggiornata.
Dunque, in virtù di tale decisione, i trasferimenti di dati personali dall'Unione europea verso le suddette organizzazioni statunitensi che aderiscono a un insieme di principi e obblighi di protezione (EU-US Data Privacy Framework Principles, Allegato I) potranno aver luogo senza la necessità di ulteriori autorizzazioni o garanzie.
Si ricorda, infatti, che in base a quanto previsto dall'art.45 par.3 del Regolamento (UE) 679/2016 (GDPR), la Commissione ha il potere di valutare e decidere che un paese extraeuropeo assicuri livelli di protezione dei dati personali "adeguati", cioè sostanzialmente equivalente al livello di protezione garantito nell'Unione Europea. Tale valutazione si basa su una serie di elementi di cui al par.2 dell'art.45 del Regolamento (UE) 679/2016 (GDPR).
La decisione di adeguatezza è entrata in vigore il giorno dell'adozione e sarà oggetto di riesami periodici effettuati dalla Commissione europea in collaborazione con i rappresentanti delle autorità europee di protezione dei dati e delle autorità statunitensi competenti. Il primo riesame avrà luogo entro un anno dall'entrata in vigore della decisione di adeguatezza e verificherà che tutti gli elementi pertinenti siano stati pienamente attuati nel quadro giuridico statunitense e funzionino efficacemente nella pratica.
Infine, il Comitato europeo per la protezione dei dati (Edpb) ha adottato una nota informativa rivolta alle persone fisiche e alle organizzazioni che trasferiscono dati negli Stati Uniti. Il documento intende fornire indicazioni sintetiche e oggettive sull'impatto della recente decisione di adeguatezza, sulle implicazioni Data Privacy Framework e sul nuovo meccanismo di ricorso in materia di sicurezza nazionale.