Quali sono gli strumenti del Data Privacy Framework che i cittadini Ue possono utilizzare?

La Commissione europea ha fatto dunque sapere che dell’adozione di una «decisione di adeguatezza per il quadro UE-USA sulla privacy dei dati» che «conclude che gli Stati Uniti garantiscono un livello di protezione adeguato – rispetto a quello dell’UE – per i dati personali trasferiti dall’UE alle società statunitensi che partecipano al quadro UE-USA sulla privacy». Seppure diversi esperti – in primis Max Schrems – stiano dubitando della questione, il Questions & Answers prova a rispondere alle comprensibili domande dei cittadini in merito al nuovo Data Privacy Framework. Ce n’è una su tutte che è fondamentale, quella che permette ai cittadini – al di là di complicati testi scritti in giuridichese – di capire quali strumenti hanno effettivamente a disposizione per la protezione dei propri dati in virtù di questo nuovo accordo.

LEGGI ANCHE >>> Per Schrems il Data Privacy Framework «non si basa su cambiamenti materiali, ma su interessi politici»

I nuovi diritti dei cittadini sanciti nel Data Privacy Framework

Il governo statunitense ha una nuova serie di obblighi – anche quello di garantire che le intelligence Usa accedano ai dati nella misura necessaria e proporzionata – tra cui troviamo l’istituzione di un meccanismo indipendente e imparziale di ricorso per la gestione e la risoluzione dei reclami aperti dai cittadini europei quando si tratta della raccolta dei loro dati personali per scopi di sicurezza nazionale.

Questo nuovo quadro fornisce, quindi, a tutti i cittadini Ue i cui dati vengono trasferiti alle società partecipanti negli Usa una serie di nuovi diritti che vanno dall’ottenere l’accesso ai propri dati all’ottenere la correzione o la cancellazione di quelli errati o trattati in maniera non conforme alla legge. Vengono dati ai cittadini diverse strade per fare ricorso, anche una serie di opportunità gratuite per risolvere la controversia grazie a organi indipendenti.

Nel Questions & Answers viene spiegato questo «nuovo meccanismo di ricorso a due livelli» istituito dal governo Usa «con autorità indipendente e vincolante per gestire e risolvere i reclami di qualsiasi individuo i cui dati siano stati trasferiti dal SEE a società negli Stati Uniti in merito alla raccolta e all’utilizzo dei propri dati da parte degli Stati Uniti agenzie di intelligence».

Ai cittadini Ue toccano quindi maggiori garanzie su raccolta e trattamento dei loro dati in Usa insieme alla possibilità di opporsi e fare appello nei casi in cui ritenga che i suoi dati siano stati raccolti in modo illegale. Viene dati l’accesso – sia in caso di violazione da parte dei servizi di intelligence sia in caso di violazione da parte di un’azienda – a un meccanismo di ricorso indipendente e imparziale che valuta il caso.

Come denunciare il trattamento illecito dei dati

Partiamo dal presupposto che, perché la denuncia sia ammissibile, non è necessario – da parte del cittadino – dimostrare che i suoi dati siano effettivamente stati raccolti dall’intelligenze statunitense. Si inizia presentando un reclamo alla propria autorità nazionale per protezione dei dati, la quale si occupa di trasmettere correttamente il reclamo e di fornire al cittadino tutte le comunicazioni sulla questione (compreso l’esito). Questo a garanzia del fatto che «le persone possano rivolgersi a un’autorità vicino a casa, nella loro lingua». A trasmettere il recalo negli Usa sarà il Comitato europeo per la protezione dei dati. A esaminare le denunce, in primo luogo, sarà il “Responsabile per la protezione delle libertà civili” della comunità di intelligence statunitense, ovvero colui che è responsabile di garantire il rispetto della privacy e dei diritti fondamentali da parte delle agenzie.

I cittadini Ue possono presentare ricorso contro la decisione del responsabile della protezione delle libertà civili presso il DPCR (tribunale per il riesame della protezione dei dati) la cui corte è composta fa membri esterni al governo Ue, nominati in base alle loro qualifiche e licenziabili solo per giusta causa (dove per giusta causa si intende una condanna penale, l’essere ritenuti inadeguati fisicamente o mentalmente a svolgere il ruolo). La DPCR, qualora scoprisse che i dati sono stati raccolti in violazione delle garanzie, può disporne la cancellazione.