27/01/2023

Cronologia dei trasferimenti di dati fra UE e USA

Di Sophie Bernard - Privacy & Data Protection Manager
  1. 25 Ottobre 1978 – Il Foreign Intelligence Surveillance Act (FISA) degli Stati Uniti viene firmato dal presidente Jimmy Carter e sarà ripetutamente modificato dopo l'11 settembre
  2. 23 Settembre 1980 –  L'Organizzazione per la Cooperazione e lo Sviluppo Economico (OCSE) pubblica le Linee guida sulla protezione della privacy e sui flussi transfrontalieri di dati personali
  3. 25 Ottobre 1998 – Entra in vigore la Direttiva (UE) 95/46/EC sulla protezione dei dati che prevede come il trasferimento dei dati verso un paese terzo (ovvero, non appartenente all'UE/SEE) possa avvenire solo se garantisce un livello "adeguato" di protezione della privacy
  4. 16 Maggio 2000 – Il Gruppo di lavoro dell’Articolo 29 (WP29), istituito ai sensi della direttiva 95/46/CE, esprime un parere sul livello di protezione fornito dal Safe Harbor statunitense
  5. 21 Luglio 2000 – Il governo degli USA pubblica il quadro di riferimento per il Safe Harbor tra Stati Uniti, UE e Svizzera, insieme alle relative FAQ che forniscono indicazioni alle organizzazioni aderenti; si tratta del primo programma di autoregolamentazione della privacy che consente alle organizzazioni statunitensi di ricevere dati dall'UE e dalla Svizzera e che delega l'applicazione alla Federal Trade Commission (FTC) 
  6. 26 Luglio 2000 – La Commissione Europea (CE) adotta una decisione sull'adeguatezza della protezione fornita dai Principi del Safe Harbor
  7. 5 Febbraio 2010 – La Commissione Europea (CE) rilascia la prima serie di clausole contrattuali standard (SCC) per il trasferimento di dati personali ad incaricati del trattamento stabiliti in paesi terzi 
  8. 18 Febbraio 2010 – il sito WikiLeaks di Julian Assange pubblica i primi documenti consegnati dall'ex analista di dati dell'esercito americano Chelsea Manning, che in seguito (agosto 2013) sarà condannata a 35 anni di carcere militare: si tratta della più grande fuga di informazioni nella storia militare degli Stati Uniti
  9. 30 Marzo 2011Google Inc. è accusata dalla FTC di pratiche ingannevoli in materia di privacy nell'introduzione del suo social network "Buzz" e di aver utilizzato i dati degli utenti di Gmail senza notifica o consenso, con conseguente mancata adesione ai principi del Safe Harbor
  10. Maggio-Giugno 2013I documenti top secret sulla sorveglianza globale di massa vengono divulgati dall'ex consulente della NSA Edward Snowden, che viene poi accusato dai procuratori statunitensi di spionaggio e furto di proprietà del governo e dichiara di non "aspettarsi di tornare a casa presto”
  11. 27 Novembre 2013 – La Commissione Europea pubblica un memorandum contenente 13 raccomandazioni per migliorare il funzionamento del Safe Harbour e invita le autorità statunitensi ad individuare dei rimedi entro l'estate 2014
  12. 12 Marzo 2014 – Il Parlamento UE ordina alla NSA di "fermare immediatamente la sorveglianza di massa o di affrontarne le conseguenze" e chiede la "sospensione immediata" del Safe Harbour 
  13. 17 Gennaio 2014 – Il Presidente degli USA Obama firma la Presidential Policy Directive 28 (PPD-28), che impone importanti limitazioni alle operazioni di intelligence nazionale
  14. 2 Giugno 2015 – Viene promulgato lo US Freedom Act che limita la raccolta massiccia di dati e consente alle aziende di emettere relazioni di trasparenza sulle richieste di accesso del governo 
  15. 8 Settembre 2015 – L'accordo “Umbrella” istituisce un quadro globale di alto livello per la protezione dei dati per la cooperazione tra le forze dell'ordine dell'UE e degli USA per il trasferimento di dati condivisi per prevenire, indagare, rilevare o perseguire reati, compreso il terrorismo
  16. 6 Ottobre 2015Schrems I: Il Garante Irlandese contro Facebook Ireland Ltd. La CGUE invalida il Safe Harbor Framework, inizialmente contestato dal difensore austriaco Maximilian Schrems, affermando che la legislazione che consente alle autorità pubbliche di accedere alle comunicazioni elettroniche degli individui deve essere considerata come una compromissione dell'essenza del diritto fondamentale alla privacy - I trasferimenti effettuati in base agli SCC rimangono validi
  17. 6 Novembre 2015 – La Commissione Europea pubblica una Linea guida sui trasferimenti transatlantici di dati e sollecita la rapida definizione di un nuovo quadro normativo a seguito della sentenza nel caso Schrems I
  18. 29 Febbraio 2016 - La Commissione Europea pubblica il testo giuridico che darà vita allo Scudo per la privacy (Privacy Shield) e pubblica una bozza di "decisione di adeguatezza"
  19. 12 Luglio 2016 – Il Programma di certificazione del Privacy Shield è adottato da 25 Stati membri dell'UE con 2 astensioni 
  20. 17 Gennaio 2017 - Il Presidente Barak Obama commuta la pena detentiva dell'informatore Chelsea Manning riconoscendo come fosse sproporzionata rispetto ad altri condannati per la fuga di documenti
  21. 13 Aprile 2016 - Il WP29 rilascia un parere sulla bozza di decisione di adeguatezza del Privacy Shield tra UE e USA ed esprime forti preoccupazioni sia per gli aspetti commerciali che per l'accesso delle autorità pubbliche ai dati trasferiti dall’UE
  22. 25 Maggio 2018 - Il Regolamento (UE) 2016/679 (GDPR) entra in vigore due anni dopo la pubblicazione da parte del Parlamento europeo e del Consiglio.
  23. 16 Luglio 2020 - Schrems II: Garante irlandese vs. Facebook Ireland Ltd. La CGUE invalida il Privacy Shield, ma le SCC restano un meccanismo valido per coprire i flussi di dati transatlantici soggetti a "garanzie aggiuntive"
  24. 10 Novembre 2020 - L'EDPB consiglia agli esportatori di dati le misure da adottare per integrare gli strumenti di trasferimento e adotta una raccomandazione per garantire la conformità con il livello di protezione dei dati personali dell'UE
  25. 4 Giugno 2021 - La Commissione Europea adotta due nuove serie di SCC per allinearsi al GDPR e alla sentenza Schrems II della CGUE 
  26. 28 Giugno 2021 - La Commissione Europea emette una decisione di adeguatezza post-Brexit per il Regno Unito che mantiene i flussi di dati dal 2021 in poi.
  27. 25 Marzo 2022 - La Commissione Europea e gli USA adottano una dichiarazione congiunta sul quadro transatlantico sulla privacy dei dati (Data Privacy Framework o DPF) annunciando di aver raggiunto "un accordo di principio".
  28. 28 Marzo 2022 - Google raccomanda il DPF come un "accordo significativo" che "rafforza le barriere di sicurezza e la proporzionalità della raccolta di informazioni da parte degli Stati Uniti" auspicando di poterlo certificare al più presto
  29. 29 Marzo 2022 - La DPA danese emette un parere sul DPF transatlantico e ricorda alle aziende che "non è ancora così concreto da fare la differenza per le organizzazioni che trasferiscono dati personali verso gli Stati Uniti"
  30. 6 Aprile 2022 - L'EDPB adotta una dichiarazione sul DPF UE-USA che, tuttavia, "non costituisce ancora un quadro giuridico su cui gli esportatori di dati possano basare i loro trasferimenti di dati verso gli Stati Uniti"
  31. 3 Ottobre 2022 - Entra in vigore l'accordo di accesso ai dati fra USA e UK relativo alla condivisione di dati inerenti alle condanne penali 
  32. 7 Ottobre 2022 - Il Presidente Biden firma l'ordine esecutivo per l'attuazione del Data Privacy Framework che fornisce nuove garanzie legali alle agenzie di sicurezza nazionali per l'accesso ai dati personali dell'UE
  33. 7 Ottobre 2022 - La Commissione Europea pubblica un Q&A sul Data Privacy Framework UE-USA
  34. 13 Dicembre 2022 - La Commissione Europea avvia il processo di adeguatezza del DPF UE-USA, che dovrebbe concludersi entro la primavera del 2023, e rilascia una bozza di decisione di attuazione
  35. 13 Dicembre 2022 - L'associazione per i diritti digitali "nyob" di Max Schrems pubblica una dichiarazione sulla bozza di decisione di adeguatezza, affermando che sembra che la CE "emetta solo decisioni simili più e più volte - in flagrante violazione dei nostri diritti fondamentali" - questo potrebbe suggerire che Schrems III è già in produzione per sfidare i flussi di dati UE/USA, ancora una volta...
  36. 16 Gennaio 2023 - L'EDPB annuncia che discuterà della bozza di decisione di adeguatezza per il DPF UE-USA e, successivamente, pubblicherà il suo parere 

Non esitate a contattarci per saperne di più sui trasferimenti di dati extra-UE e per ottenere una guida su misura.