EDPB informa sulle implicazioni del DPF e adotta una dichiarazione sulla prima revisione della decisione di adeguatezza del Giappone

Durante la sua ultima plenaria, l’EDPB – European Data Protection Board – ha adottato una nota informativa per individui ed entità che trasferiscono dati negli Stati Uniti. Questa nota mira a fornire informazioni concise e oggettive riguardo all’impatto della decisione di adeguatezza sui trasferimenti verso gli Stati Uniti, i meccanismi di ricorso disponibili nel Data Privacy Framework (DPF) e il nuovo meccanismo di ricorso nel campo della sicurezza nazionale.

Il Presidente dell’EDPB, Anu Talus, ha dichiarato: “L’adozione del DPF da parte della Commissione Europea, seguendo l’opinione dell’EDPB del febbraio 2023, è una decisione importante che riconosce come i dati personali possano ora fluire dall’Area Economica Europea agli Stati Uniti, senza ulteriori condizioni. È essenziale che gli individui siano consapevoli dei loro diritti e che le organizzazioni conoscano i loro obblighi, come spiegato nell’informazione della nota. L’EDPB continuerà a prestare particolare attenzione alla corretta attuazione di questo nuovo strumento e siamo ansiosi di contribuire alla prima revisione del DPF l’anno prossimo.”

La nota informativa chiarisce che i trasferimenti basati sulle decisioni di adeguatezza non necessitano di misure aggiuntive. I trasferimenti verso gli Stati Uniti che non sono inclusi nella “Lista del Data Privacy Framework” richiedono adeguate garanzie, come le clausole standard di protezione dei dati o le norme vincolanti aziendali. A questo proposito, l’EDPB sottolinea che tutte le garanzie messe in atto dal Governo degli Stati Uniti nel campo della sicurezza nazionale (compreso il meccanismo di ricorso) si applicano a tutti i dati trasferiti agli Stati Uniti, indipendentemente dallo strumento di trasferimento utilizzato.

Inoltre, la nota informativa specifica che nel campo della sicurezza nazionale, gli individui dell’UE possono presentare un reclamo all’autorità nazionale di protezione dei dati (DPA) per utilizzare il nuovo meccanismo di ricorso indipendentemente dallo strumento di trasferimento utilizzato per trasferire dati personali negli Stati Uniti.

Durante la plenaria, i rappresentanti della Commissione Europea hanno anche presentato il DPF e le modifiche seguenti l’opinione dell’EDPB.

Inoltre, l’EDPB ha adottato una dichiarazione sulla prima revisione della decisione di adeguatezza del Giappone. La dichiarazione si concentra principalmente sulla valutazione degli aspetti commerciali della decisione di adeguatezza giapponese, poiché il quadro giuridico giapponese ha subito alcune modifiche in questo settore dalla concessione della decisione di adeguatezza, che hanno portato a una maggiore convergenza con il GDPR. Tra queste modifiche vi sono l’estensione del diritto di opporsi a un trattamento, il rafforzamento dell’obbligo di notificare le violazioni dei dati all’autorità giapponese di protezione dei dati e agli individui, e l’ampliamento del campo di applicazione della legge giapponese sulla protezione delle informazioni personali (APPI) in modo che non escluda più i dati personali “destinati ad essere cancellati” entro sei mesi.

Allo stesso tempo, l’EDPB ritiene che ci siano alcune aree che richiedono un monitoraggio più attento da parte della Commissione Europea, in particolare per quanto riguarda la nuova categoria di informazioni personali “pseudonimizzate” nella legge giapponese e l’uso del consenso in situazioni di squilibrio di potere. L’EDPB accoglie quindi con favore l’impegno della Commissione Europea a monitorare attentamente queste questioni.

Complessivamente, l’EDPB concorda con la valutazione della Commissione Europea sulla revisione e accoglie con favore la proposta della Commissione di passare a un ciclo di revisione quadriennale.