Lo scorso luglio, la Commissione Europea ha adottato l’Implementing Decision on the adequate level of protection of personal data under the EU-US Data Privacy Framework (Adequacy Decision).

In particolare, la Commissione ha deciso che gli Stati Uniti, ai fini dell'articolo 45 del Regolamento generale sulla protezione dei dati (UE) 2016/679 (GDPR), garantiscano un livello di protezione adeguato per i dati personali trasferiti dall'Europa a organizzazioni negli Stati Uniti che sono incluse nella "Data Privacy Framework List", mantenuta e resa pubblica da U.S. Department of Commerce. Pertanto, i trasferimenti dall'Europa a organizzazioni negli Stati Uniti incluse nel Data Privacy Framework List possono basarsi sull’Adequacy Decision, senza dover ricorrere agli strumenti di trasferimento previsti dall'articolo 46 del GDPR.

Ciò significa anche che questi trasferimenti non devono essere integrati da misure supplementari.

L’EU-U.S. Data Privacy Framework stabilisce i principi che regolano il trattamento dei dati personali trasferiti dall'Europa agli Stati Uniti, compresi i diritti individuali, in particolare il diritto di accesso, il diritto di opporsi al trattamento e il diritto alla rettifica e alla cancellazione dei dati.

A marzo 2023, il Comitato Europeo per la Protezione dei Dati ha pubblicato anche le Guidelines 01/2022 on data subject rights - Right of access.

I trasferimenti a entità negli Stati Uniti che non sono incluse nella Data Privacy Framework List richiederanno adeguate garanzie di protezione dei dati, diritti applicabili e rimedi legali efficaci per gli interessati (ad esempio, attraverso clausole standard di protezione dei dati, norme vincolanti d'impresa), in conformità con l'articolo 46 del GDPR.

Leggi qui l’Adequacy Decision!