Il 13 dicembre 2022 la Commissione Europea ha avviato il processo verso l'adozione di una decisione di adeguatezza per i rapporti UE-U.S.A. con riferimento alla materia della protezione dei dati personali, che promuoverà flussi di dati transatlantici sicuri e affronterà le preoccupazioni sollevate dalla Corte di Giustizia dell'Unione europea nella decisione Schrems II del luglio 2020 ed anche nelle precedenti decisioni.
La bozza di decisione della Commissione segue la firma di un ordine esecutivo degli Stati Uniti da parte del presidente Biden del 7 ottobre 2022, insieme ai regolamenti emanati dal procuratore generale degli Stati Uniti Merrick Garland. Questi due strumenti hanno recepito nel diritto statunitense l'accordo di principio annunciato dal presidente Von Der Leyen e dal presidente Biden nel marzo 2022.
Il progetto di decisione di adeguatezza, che riflette la valutazione della Commissione del quadro giuridico statunitense e conclude che lo stesso fornisce garanzie comparabili a quelle dell'UE, è stato pubblicato e trasmesso al Comitato europeo per la protezione dei dati (EDPB) per il suo parere. Lo stesso progetto conclude che gli Stati Uniti garantiscono un livello adeguato di protezione dei dati personali trasferiti dall'UE alle società statunitensi.
Le aziende statunitensi potranno aderire all'EU-U.S. Data Privacy Framework impegnandosi a rispettare una serie dettagliata di obblighi in materia di privacy, ad esempio l'obbligo di eliminare i dati personali quando non sono più necessari per lo scopo previsto per la raccolta e di garantire la continuità della protezione quando i dati personali sono condivisi con terzi.
I cittadini dell'UE beneficeranno di diverse vie di ricorso se i loro dati personali sono trattati in violazione del quadro giuridico, anche gratuitamente dinanzi ad organismi indipendenti di risoluzione delle controversie ed a un collegio arbitrale. Inoltre, il quadro giuridico statunitense prevede una serie di limitazioni e garanzie relative all'accesso ai dati da parte delle autorità pubbliche statunitensi, in particolare per l'applicazione della legge penale e per finalità di sicurezza nazionale. Ciò include le nuove regole introdotte dall'ordine esecutivo degli Stati Uniti, che ha affrontato le questioni sollevate dalla Corte di Giustizia dell'UE nella sentenza Schrems II:
- l'accesso ai dati europei da parte delle agenzie di intelligence statunitensi sarà limitato a quanto necessario e proporzionato per proteggere la sicurezza nazionale.
- I cittadini dell'UE avranno la possibilità di ottenere un risarcimento in merito alla raccolta e all'utilizzo dei propri dati da parte delle agenzie di intelligence statunitensi mediante un meccanismo di ricorso indipendente e imparziale, che comprende un tribunale di revisione per la protezione dei dati di nuova creazione. La Corte indagherà e risolverà in modo indipendente i reclami dei cittadini europei, anche adottando misure correttive vincolanti.
- Le imprese europee potranno fare affidamento su queste garanzie per i trasferimenti di dati transatlantici, anche quando utilizzano altri meccanismi di trasferimento, come clausole contrattuali standard e regole aziendali vincolanti.
Una volta completata la procedura, con l’adozione della decisione finale di adeguatezza da parte della Commissione europea, il funzionamento dell'UE-USA Data Privacy Framework sarà soggetto a revisioni periodiche, che saranno effettuate dalla stessa Commissione, insieme alle autorità europee per la protezione dei dati e alle competenti autorità statunitensi. Il primo riesame avrà luogo entro un anno dall'entrata in vigore della decisione di adeguatezza, per verificare se tutti gli elementi pertinenti del quadro giuridico statunitense siano stati pienamente attuati e funzionino efficacemente nella pratica.
Si ricorda che l'articolo 45, paragrafo 3, del GDPR conferisce alla Commissione il potere di decidere, mediante un atto di esecuzione, che un paese terzo assicuri "un livello adeguato di protezione", vale a dire un livello di protezione dei dati personali che è essenzialmente equivalente al livello di protezione all'interno dell'UE.
Si riuscirà nell’intento di garantire finalmente i diritti dei cittadini comunitari negli Stati Uniti? Onestamente rimango molto perplesso, poiché nonostante gli encomiabili sforzi della Commissione europea, negli Sati Uniti saranno sempre prevalenti le esigenze di sicurezza nazionale come del resto specificato nello stesso ordine esecutivo di Biden.