TUTELA DEI DATI PERSONALI
Firmato l'Executive Order presidenziale per dare attuazione al quadro UE-USA sulla protezione dei dati.
La Casa Bianca ha annunciato, il 7 ottobre 2022, la firma dell'Ordine Esecutivo sul rafforzamento delle salvaguardie per le attività di intelligence delle agenzie degli Stati Uniti. L'ordine Esecutivo individua e fissa le misure che gli Stati Uniti adotteranno per attuare i loro impegni nell'ambito del Data Privacy Framework (DPF) tra l'Unione europea e gli Stati Uniti ("EU-US DPF"), come annunciato nel mesi di Marzo 2022.
In particolare, la scheda informativa che l'accompagna spiega che il DPF UE-USA mira a ripristinare la base giuridica per i flussi di dati transatlantici affrontando le preoccupazioni espresse dalla sentenza della Corte di giustizia dell'Unione europea («CGUE») nella causa Data Protection Commissioner v. Facebook Ireland Limited, Maximillian Schrems (C-311/18) («Schrems II Case»), in base alla quale il quadro dello scudo per la privacy è stato invalidato come meccanismo di trasferimento dei dati.
Più specificamente, l'ordine esecutivo:
Regolamento DPRC
Entro 60 giorni dalla data dell'Executive Order, il procuratore generale e i Responsabili delle agenzia USA di Intelligence che raccolgono o gestiscono informazioni personali stabiliscono la procedura per la presentazione di reclami qualificanti trasmessi dall'autorità pubblica competente in uno Stato.
Di conseguenza, l'ordine esecutivo conferisce al funzionario della protezione delle libertà civili dell'Ufficio del direttore dell'intelligence nazionale («CLPO») il potere di indagare, rivedere e, se necessario, ordinare un'adeguata correzione per i reclami. Inoltre, il procuratore generale è autorizzato a istituire un processo per rivedere le determinazioni del CLPO e, anche entro 60 giorni dalla data dell'ordine, a promulgare regolamenti che istituiscono un Tribunale di ricorso per la protezione dei dati ("DPRC") per esercitare l'autorità del procuratore generale per tali revisioni. Alla luce di ciò, il procuratore generale, Merrick Garland, ha firmato, nella stessa data, il regolamento che istituisce il DPRC.
Domande e risposte della Commissione europea
In risposta all'Ordine Esecutivo, la Commissione europea ha pubblicato le sue F.A.Q. e ha annunciato che preparerà un progetto di decisione di adeguatezza, nonché avvierà la sua procedura di adozione, un processo che potrebbe richiedere fino a sei mesi.
La Commissione europea ha confermato che prima di adottare una decisione di adeguatezza deve ottenere un parere dal comitato europeo per la protezione dei dati e ricevere l'approvazione di un comitato composto da rappresentanti degli Stati membri dell'UE. Inoltre, il Parlamento europeo ha il diritto di controllare le decisioni di adeguatezza.
Infine, la Commissione europea ha sottolineato che una decisione di adeguatezza non è l'unico strumento per i trasferimenti internazionali e che tutte le garanzie che ha concordato con il governo degli Stati Uniti nel settore della sicurezza nazionale saranno disponibili per tutti i trasferimenti verso gli Stati Uniti ai sensi del regolamento generale sulla protezione dei dati (regolamento (UE) 2016/679) ("GDPR"), indipendentemente dallo strumento di trasferimento utilizzato.
Di seguito sono riportati i link ai documenti ufficiali:
Ordine Esecutivo;
Scheda informativa;
FAQ della Commissione UE
Dipartimento di Giustizia;
Regolamenti sul Tribunale per la protezione dei dati personali.
In particolare, la scheda informativa che l'accompagna spiega che il DPF UE-USA mira a ripristinare la base giuridica per i flussi di dati transatlantici affrontando le preoccupazioni espresse dalla sentenza della Corte di giustizia dell'Unione europea («CGUE») nella causa Data Protection Commissioner v. Facebook Ireland Limited, Maximillian Schrems (C-311/18) («Schrems II Case»), in base alla quale il quadro dello scudo per la privacy è stato invalidato come meccanismo di trasferimento dei dati.
Più specificamente, l'ordine esecutivo:
- introduce ulteriori garanzie per le attività di intelligence delle agenzie degli Stati Uniti;
- introduce requisiti per la raccolta dei dati personali nell'ambito delle attività di intelligence ed estende le responsabilità dei funzionari;
- richiede che le agenzie di intelligence degli Stati Uniti aggiornino le loro politiche e procedure;
- crea un meccanismo a più livelli per le persone interessate al fine di ottenere un riesame e un ricorso indipendenti e vincolanti; e
- invita il comitato di sorveglianza per la privacy e le libertà civili a rivedere le politiche e le procedure della comunità dell'intelligence.
Regolamento DPRC
Entro 60 giorni dalla data dell'Executive Order, il procuratore generale e i Responsabili delle agenzia USA di Intelligence che raccolgono o gestiscono informazioni personali stabiliscono la procedura per la presentazione di reclami qualificanti trasmessi dall'autorità pubblica competente in uno Stato.
Di conseguenza, l'ordine esecutivo conferisce al funzionario della protezione delle libertà civili dell'Ufficio del direttore dell'intelligence nazionale («CLPO») il potere di indagare, rivedere e, se necessario, ordinare un'adeguata correzione per i reclami. Inoltre, il procuratore generale è autorizzato a istituire un processo per rivedere le determinazioni del CLPO e, anche entro 60 giorni dalla data dell'ordine, a promulgare regolamenti che istituiscono un Tribunale di ricorso per la protezione dei dati ("DPRC") per esercitare l'autorità del procuratore generale per tali revisioni. Alla luce di ciò, il procuratore generale, Merrick Garland, ha firmato, nella stessa data, il regolamento che istituisce il DPRC.
Domande e risposte della Commissione europea
In risposta all'Ordine Esecutivo, la Commissione europea ha pubblicato le sue F.A.Q. e ha annunciato che preparerà un progetto di decisione di adeguatezza, nonché avvierà la sua procedura di adozione, un processo che potrebbe richiedere fino a sei mesi.
La Commissione europea ha confermato che prima di adottare una decisione di adeguatezza deve ottenere un parere dal comitato europeo per la protezione dei dati e ricevere l'approvazione di un comitato composto da rappresentanti degli Stati membri dell'UE. Inoltre, il Parlamento europeo ha il diritto di controllare le decisioni di adeguatezza.
Infine, la Commissione europea ha sottolineato che una decisione di adeguatezza non è l'unico strumento per i trasferimenti internazionali e che tutte le garanzie che ha concordato con il governo degli Stati Uniti nel settore della sicurezza nazionale saranno disponibili per tutti i trasferimenti verso gli Stati Uniti ai sensi del regolamento generale sulla protezione dei dati (regolamento (UE) 2016/679) ("GDPR"), indipendentemente dallo strumento di trasferimento utilizzato.
Di seguito sono riportati i link ai documenti ufficiali:
Ordine Esecutivo;
Scheda informativa;
FAQ della Commissione UE
Dipartimento di Giustizia;
Regolamenti sul Tribunale per la protezione dei dati personali.
