Nelle puntate precedenti...
A luglio 2020 il Data Shield è stato revocato e di fatto ha segnato un punto di svolta per tutte le aziende che lavorano con servizi americani come Google e Meta. La CJEU (Court of Justice of the European Union) aveva infatti stabilito che le normative sulla protezione e l’uso dei dati personali inviati agli USA non erano conformi a quelli europei.
Con lo “scudo abbassato” c’è stata una generale corsa ai ripari. Il passaggio a Google Analytics 4 sembrava una soluzione necessaria, tanto più che il Garante della Privacy italiano non si era ancora espresso in merito. Ma in molti hanno optato per alternative GDPR compliant, come per esempio Matomo. Se te lo sei perso, leggi il nostro
approfondimento su GA4.
Ora il problema è risolto?
Dal 10 luglio è entrato in vigore il EU-US Data Privacy Framework, accordo tra USA e UE che stabilisce il livello di protezione da rispettare nel trattamento dei dati personali trasferiti dall’UE alle aziende statunitensi.
L’accordo indica un
elenco delle aziende americane coinvolte (tra cui, appunto,
Google e Meta) e introduce norme restrittive sulla privacy. Una fra queste è l’obbligo alla cancellazione delle informazioni quando non più necessarie ai fini per cui sono state raccolte. Non meno importante,
le agenzie di intelligence americane devono sottostare a
norme più stringenti, accedendo ai dati solo in caso di violazione della sicurezza nazionale.
Per tutelare i cittadini dell’UE è stato istituito il Tribunale di Revisione sulla Protezione dei Dati (Data Protection Review Court, DPRC) che può ordinare alle imprese americane di cancellare le informazioni nel caso in cui siano state raccolte violando leggi e normative. Il Tribunale gestisce i ricorsi per conto dei cittadini a cui, se previsto, verrà anche riconosciuto un risarcimento.
L’accordo tra le parti verrà periodicamente revisionato dalla Commissione Europea e dalle Autorità competenti statunitensi ed europee. Entro un anno ci sarà la prima revisione per stabilire se il sistema giuridico statunitense ha adempiuto agli obblighi previsti.
È un sostanziale passo avanti che permette alle aziende di essere GDPR compliant anche utilizzando i preziosi servizi d’oltreoceano.