Nella sua decisione sull’adeguatezza del 10 luglio 2023, la Commissione ha constatato che il Data Privacy Framework (DPF) fornisce un livello di protezione adeguato per i dati personali trasferiti dall’Unione Europea ad organizzazioni negli Stati Uniti d’America. Il Considerando 211 della decisione di adeguatezza prevedeva anche che la Commissione effettuasse revisioni periodiche, la prima delle quali doveva avvenire dopo un anno dalla data di notifica della decisione di adeguatezza agli Stati membri.
In data 9 Ottobre 2024, la Commissione concludeva questo primo esame, presentando il proprio rapporto.
Il rapporto si concentra sulla verifica dell’attuazione e del funzionamento efficace di tutti gli elementi previsti dal Data Privacy Framework. Il riesame ha riguardato tutti gli aspetti del funzionamento del quadro, anche alla luce degli sviluppi giuridici intervenuti dopo l’adozione della decisione di adeguatezza.
Sulla base delle informazioni raccolte durante questo primo esame, la Commissione conclude che le autorità statunitensi hanno messo in atto le strutture e le procedure necessarie per garantire il funzionamento efficace del Data Privacy Framework, rimarcando la collaborazione delle autorità statunitensi per condurre la revisione.
La Commissione rileva, in ogni caso, che l’esperienza dell’applicazione pratica delle salvaguardie che si applicano sia al trattamento dei dati personali da parte delle aziende certificate sia all’accesso ai dati da parte delle autorità pubbliche è necessariamente limitata dopo un solo anno di funzionamento. Quindi, la Commissione intende monitorare gli sviluppi pertinenti nel corso dei prossimo periodo, prestando particolare attenzione a:
- le prossime relazioni del Privacy and Civil Liberties Oversight Board (PCLOB) sull’attuazione della EO 14086 e sul funzionamento del meccanismo di ricorso;
- possibili ulteriori modifiche della Sezione 702 del Foreign Intelligence Surveillance Act (FISA);
- la nomina di membri del PCLOB per coprire i posti vacanti.
Inoltre, per garantire un funzionamento continuo ed efficace, la Commissione ha ritenuto fondamentale che:
- il Dipartimento del Commercio statunitense faccia un uso più completo dei diversi strumenti forniti dal Data Privacy Framework per il monitoraggio della conformità delle aziende ai principi del DPF e per l’individuazione di false dichiarazioni di partecipazione;
- la Federal Trade Commission (FTC) si impegni ad avere un approccio proattivo alle indagini e all’applicazione della conformità ai principi del DPF da parte delle aziende statunitensi certificate;
- il Dipartimento del Commercio, la FTC e le autorità di protezione dei dati dell’Unione Europea sviluppino strumenti di orientamento comuni sui requisiti chiave dei principi del DPF, in particolare, sulle tematiche dei trattamenti di dati personali nell’ambito delle risorse umane e dei trasferimenti effettuati successivi (onward transfers).
Sul tema del onward transfers, i principi del DPF prevedono che possono essere effettuati:
- solo per scopi limitati e specifici;
- sulla base di un accordo scritto tra l’organizzazione DPF UE-USA e la terza parte;
- solo se tale contratto prevede che la terza parte fornisca lo stesso livello di protezione.
Alla luce dei risultati del riesame, la Commissione ha ritenuto opportuno effettuare il prossimo riesame periodico dopo tre anni e consulterà il Comitato europeo per la protezione dei dati (EDPB) in merito alla periodicità dei futuri riesami.
