L’EDPB informa le parti interessate sulle implicazioni del DPF e adotta una dichiarazione sulla prima revisione della decisione di adeguatezza del Giappone

Durante l’ultima plenaria dell’EDPB, l’EDPB ha adottato una nota informativa per le persone fisiche e le entità che trasferiscono dati negli Stati Uniti. Questa nota mira a fornire informazioni sintetiche e obiettive sull’impatto della decisione di adeguatezza sui trasferimenti negli Stati Uniti, sui meccanismi di ricorso disponibili nell’ambito del Data Privacy Framework (DPF) e sul nuovo meccanismo di ricorso nell’area della sicurezza nazionale.

Il presidente dell’EDPB, Anu Talus, ha dichiarato: “L’adozione del DPF da parte della Commissione europea, a seguito del parere dell’EDPB del febbraio 2023 , è una decisione importante che riconosce che i dati personali possono ora fluire dallo Spazio economico europeo agli Stati Uniti, senza ulteriori condizioni. È essenziale che le persone siano consapevoli dei propri diritti e che le organizzazioni conoscano i propri obblighi, come spiega l’EDPB nella nota informativa. L’EDPB continuerà a prestare particolare attenzione alla corretta attuazione di questo nuovo strumento e non vediamo l’ora di contribuire alla prima revisione del DPF il prossimo anno”.

La nota informativa chiarisce che i trasferimenti basati su decisioni di adeguatezza non devono essere integrati da misure supplementari. I trasferimenti verso gli Stati Uniti che non sono inclusi nella ‘Data Privacy Framework List’ richiedono garanzie adeguate, come clausole standard di protezione dei dati o regole aziendali vincolanti. A questo proposito, l’EDPB sottolinea che tutte le garanzie che sono state messe in atto dal governo degli Stati Uniti nel settore della sicurezza nazionale (compreso il meccanismo di ricorso) si applicano a tutti i dati trasferiti negli Stati Uniti, indipendentemente dallo strumento di trasferimento utilizzato.

Inoltre, la nota informativa specifica che nell’ambito della sicurezza nazionale, i cittadini dell’UE possono presentare un reclamo alla propria autorità nazionale per la protezione dei dati (DPA) per avvalersi del nuovo meccanismo di ricorso indipendentemente dallo strumento di trasferimento utilizzato per trasferire i dati personali negli Stati Uniti

Durante la plenaria, anche i rappresentanti della Commissione Europea hanno presentato il DPF e le modifiche a seguito del parere dell’EDPB.

Successivamente, l’EDPB ha adottato una dichiarazione sulla prima revisione della decisione di adeguatezza del Giappone . La dichiarazione si concentra principalmente sulla valutazione degli aspetti commerciali della decisione di adeguatezza giapponese, poiché il quadro giuridico giapponese ha subito alcune modifiche in questo settore dall’emissione della decisione di adeguatezza, che hanno portato a un’ulteriore convergenza con il GDPR. Questi includono l’estensione del diritto di opporsi a un trattamento, il rafforzamento dell’obbligo di notificare le violazioni dei dati all’autorità giapponese per la protezione dei dati e alle persone fisiche e l’ampliamento dell’ambito di applicazione della legge giapponese sulla protezione delle informazioni personali (APPI) in modo che non escluda più i dati personali che sono “impostati per essere cancellati” entro sei mesi.

Allo stesso tempo, l’EDPB ritiene che vi siano alcune aree che richiedono un monitoraggio più attento da parte della Commissione europea, in particolare per quanto riguarda la nuova categoria di informazioni personali “pseudonimizzate” nel diritto giapponese e l’uso del consenso in situazioni di squilibrio di potere. L’EDPB accoglie pertanto con favore l’impegno della Commissione europea a monitorare da vicino tali questioni.

Nel complesso, l’EDPB concorda con la valutazione della Commissione europea sulla revisione e accoglie con favore la proposta della Commissione di passare a un ciclo di revisione di quattro anni.