Nel luglio 2020, la Corte di giustizia dell’UE (CGUE) ha invalidato per la seconda volta il quadro giuridico per il trasferimento di dati personali attraverso l’Atlantico nella storica sentenza Schrems II. La CGUE ha rilevato che, poiché i servizi di intelligence statunitensi raccolgono una grande quantità di dati, il sistema legale statunitense non fornisce un livello adeguato di protezione dei dati personali. Di conseguenza, la CGUE ha annullato la decisione della Commissione che fungeva da base giuridica per il trasferimento di dati personali negli Stati Uniti.
La sentenza Schrems II ha creato incertezza sui trasferimenti di dati transatlantici. In assenza di una valida decisione di adeguatezza, la soluzione più comune per garantire un trasferimento dei dati conforme al GDPR è stata l’implementazione di clausole contrattuali standard, che, ovviamente, hanno generato un notevole onere amministrativo.
Tuttavia, il 7 ottobre 2022, il presidente Biden ha firmato un ordine esecutivo, che richiede alle agenzie di intelligence statunitensi di raccogliere dati solo per scopi di sicurezza nazionale specifici e definiti, in modo necessario e proporzionato. Lo stesso giorno, la Commissione Europea ha emesso un comunicato stampa, secondo cui è ora pronta a preparare una bozza di decisione di adeguatezza, oltre ad avviare la sua procedura di adozione.
Sfortunatamente, ciò non significa che da ora i titolari del trattamento dei dati dell’UE siano liberi di trasferire i dati negli Stati Uniti. La procedura di adozione di una decisione di adeguatezza si compone di diverse fasi: ottenere un parere dal Comitato europeo per la protezione dei dati (EDPB) e il via libera da un comitato composto da rappresentanti degli Stati membri dell’UE. Inoltre, il Parlamento europeo ha il diritto di controllo sulle decisioni di adeguatezza.
Solo successivamente la Commissione Europea potrà adottare la decisione finale di adeguatezza nei confronti degli USA. Da quel momento in poi, i dati potranno circolare liberamente e in sicurezza tra le aziende dell’UE e quelle statunitensi certificate dal Dipartimento del Commercio nell’ambito del nuovo quadro. Le società statunitensi potranno aderire al framework impegnandosi a rispettare una serie dettagliata di obblighi in materia di privacy.
L’annuncio ufficiale è accessibile qui.