Abstract [It]: Il trasferimento dei dati personali verso paesi gli USA costituisce uno dei temi di discussione più attuali dell’ultimo decennio, soprattutto in considerazione delle vicende giudiziarie che, su impulso dell’attivista austriaco Max Scherms, hanno portato per ben due volte alla invalidazione delle decisioni di adeguatezza relative agli accordi EU-USA noti come “Safe Harbor” (CGUE 6 Ottobre 2015) e “Privacy Shield” (CGUE, 16 luglio 2020). L’assenza di una base giuridica generale per il trasferimento dei dati, quale appunto una dichiarazione di adeguatezza da parte della Commissione Europea, secondo il disposto dell’art.45 GDPR, determina una serie di problemi, soprattutto per le imprese e gli operatori economici. Nel marzo 2022 è stato annunciato un terzo accordo, lo EU-US Data Privacy Framework (DPF) e nel luglio 2023 la Commissione Europea ha, infine, rilasciato una nuova dichiarazione, riconoscendo l’adeguatezza delle tutele garantite dalla legislazione statunitense e corrispondente al livello di protezione offerto dal Regolamento generale sulla protezione dei dati dell'UE (GDPR). Con tale nuova dichiarazione di adeguatezza, sembra chiuso il contenzioso che ha posto non pochi problemi alle imprese europee e ha messo in luce, ancora una volta, i diversi approcci al tema della protezione dei dati da parte di UE e USA: i primi sono più orientati verso una prospettiva centrata sulla persona, quest’ultima più orientata verso una prospettiva centrata sul mercato. Il presente contributo, riprendendo le fila di un precedente lavoro che si era concluso proprio in modo interrogativo, sollevando dubbi sul ruolo del DPF come elemento di soluzione o come prologo al caso Scherms III, propone una breve analisi delle innovazioni del DPF, evidenziando tuttavia la presenza di alcune criticità ed elementi di rischio tuttora esistenti per i diritti e la protezione dei dati personali dei cittadini europei, anche in considerazione di nuove prospettive di utilizzo dei dati personali per la creazione dei training dataset per finalità di addestramento dei sistemi di intelligenza artificiale
Title: EU-US personal data transfer news and critical issues in the data privacy framework
Abstract [En]: Lawfulness and admissibility of licit transfer of personal data from the European Union (EU) to the United States of America (US) is one of the most debated topics of the last ten years, and has seen many rulings pertaining to the matter. Twice the Court of Justice of the European Union (CJEU) has invalidated the adequacy decision relating EU-US data transfer agreements: first with the ruling of 6 October 2015 (so-called Scherms I ruling, related to “Safe Harbor” agreement) and then with the ruling of of 16 July 2020 (so-called Scherms II ruling, related to “Privacy Shield” agreement). In March 2022 a third agreement, the EU-US Data Privacy Framework (DPF) was announced and in July 2023 the European Commission has, lastly, issued a new declaration of adequacy, recognizing the appropriateness of the protections granted by US legislation and corresponding to the level of protection offered by the EU General Data Protection Regulation (GDPR). With the new declaration of adequacy, the dispute that has posed many problems to European companies and has highlighted, once again, the different approaches to the issue of data protection by the EU and the USA seems to be over: the former is more oriented towards a person-centric perspective, the latter more oriented towards a market-centric perspective. Picking up the threads of a previous work that ended precisely in a questioning way, raising doubts about the role of the DPF as an element of solution or as a prologue to the Scherms III case, this work aims to analyse the characteristics and innovations of the DPF that are at the basis of the declaration of adequacy, also highlighting the presence of some ongoing critical issues and elements of risk for the rights and protection of personal data of European citizens, also considering the new critical perspectives of using personal data to improve AI training dataset.
Parole chiave: Protezione dei dati personali, GDPR, Trasferimento dati EU-US, Data Privacy Framework, Decisione di Adeguatezza
Keywords: Personal data protection, GDPR, EU-US data transfer, Data Privacy Framework-EU Commission Implementing Decision
Sommario: 1. Introduzione. 2. Il quadro giuridico di riferimento e gli interventi della CGUE. 3. Principi ed innovazioni dello EU-US Data Privacy Framework e della Decisione di Adeguatezza. 4. Prospettive e criticità…con uno sguardo all’utilizzo dei dati personali per l’AI.
ITALIA - DOTTRINA
Argomenti critici per la costruzione del fondamento teorico-concettuale della categoria dei beni comuni
Alessandra Camaiani (18/12/2024)
ITALIA - DOTTRINA
L’elezione di Ilaria Salis e la richiesta di revoca dell’immunità parlamentare europea
Alberto Di Chiara (18/12/2024)
ITALIA - DOTTRINA
Il Presidente regionale di fronte al limite del “doppio mandato”: «should I stay or should I go»?
Federica Foti (18/12/2024)
ITALIA - DOTTRINA
L’elezione di Claudia Sheinbaum Pardo alla Presidenza in Messico: tra ritorno del “maximato” e regressione democratica
Rosa Iannaccone (18/12/2024)
ITALIA - DOTTRINA
La verifica dei poteri ancora sul palcoscenico della Corte di Strasburgo: prospettive per una revisione costituzionale in Italia
Giulia Sulpizi (18/12/2024)
ITALIA - DOTTRINA
Problema e sistema nella regolazione lavoristica dell’intelligenza artificiale: note preliminari
Marco Biasi (18/12/2024)
ITALIA - DOTTRINA
Intelligenza artificiale e protezione dei dati personali nel d.d.l. n. 1146: quale governance nazionale?
Marco Cappai (18/12/2024)
ITALIA - DOTTRINA
Perché regolare le relazioni industriali e le tutele giuslavoristiche in relazione all’intelligenza artificiale
Michele Faioli (18/12/2024)