Il nuovo Data Privacy Framework che regola, finalmente, il trasferimento dati transatlantico fra Ue e Usa è entrato in vigore al terzo tentativo. Buona la terza, ma in realtà manca ancora un tassello non certo secondario per avere un imprimatur completo e definitivo al nuovo patto Usa-Ue, a prova di GDPR, sulla tutela della data protection dei cittadini europei i cui dati transitano negli Usa.
Manca ancora il parere dell’EDPB, l’organismo che raccoglie i Garanti europei, sulla versione definitiva dell’accordo. E non è affatto scontato che l’EDPB sia d’accordo, tanto più che già lo scorso mese di aprile il parere dei Garanti Ue sul provvedimento era stato negativo. Critiche erano state avanzate per la mancanza di chiarezza per i criteri di “necessità” e “proporzionalità” in base ai quali le autorità Usa possono accedere ai dati personali di chiunque possa rappresentare una minaccia alla sicurezza nazionale, senza particolari tutele per i cittadini non statunitensi, quindi anche europei.
“The EDPB takes note that the EU-U.S. Data Privacy Framework (DPF) has been adopted and looks forward to the @EU_Commission participation in its next plenary meeting to shed light on the adequacy decision and on the changes following the EDPB opinion” – Anu Talus, EDPB Chair pic.twitter.com/EyI4s4ANcz
— EDPB (@EU_EDPB) July 10, 2023
EDPB Opinion scarica il documento in PDF
L’EDPB verificherà se i rilievi avanzati in passato sono stati emendati per esprimere un giudizio definitivo, che non è scontato.
La commissione competente dell’Europarlamento è contraria
C’è da dire, poi, che un altro scoglio riguarda il fatto che il 13 aprile scorso era arrivato anche un altro “NO” all’accordo, da parte dei deputati della commissione per le libertà civili del Parlamento europeo, che sconsigliavano alla Commissione Ue di chiudere l’accordo: “Il Data Privacy Framework è un miglioramento rispetto ai quadri precedenti, ma”, mettevano in allarme, “non prevede garanzie sufficienti”. In particolare, non elimina la pesca a strascico dei dati (bulk data collection) e non fissa dei limiti sulla conservazione dei dati (data retention).
Un po’ come se la Commissione di Vigilanza Rai bocciasse la riforma Rai.
