Privacy Shield

Il Privacy Shield, lo “Scudo” per la privacy nei trasferimenti fra UE e USA, è l’accordo stipulato tra l’Europa e gli Stati Uniti affinchè i dati traferiti di là dell’Atlantico siano adeguatamente protetti, secondo gli standard approvati dalla Commissione, anche una volta fuoriusciti dai confini dell’Unione.

La presenza di questo accordo – e delle garanzie che quest’ultimo contiene – ha fatto sì che la Commissione Europea giudicasse adeguati gli standard di protezione offerti dagli USA e autorizzasse di conseguenza i trasferimenti di flussi di dati verso questo Paese.

Il Privacy Shield sostituisce il Safe Harbor, l’accordo stipulato in precedenza e “cassato” dalla Corte di Giustizia dell’Unione Europea in seguito alla scoperta delle falle presenti nel sistema americano di protezione dei dati. Tali falle erano emerse a seguito delle rivelazioni di Edward Snowden sull’indiscriminata sorveglianza di massa portata avanti dalle autorità di sicurezza statunitensi.

Il precedente del Safe Harbor ha dunque fatto sì che il Privacy Shield imponesse alle imprese americane obblighi più stringenti di tutela dei dati personali dei cittadini UE. L’accordo prevede, infatti, che le autorità americane vigilino e assicurino con più forza sul rispetto dell’accordo e che collaborino maggiormente con le Autorità europee e contiene dichiarazioni e impegni assunti formalmente per quanto riguarda l’accesso ai dati da parte di soggetti dell’Amministrazione Americana (a partire dal Department of Commerce e la Federal Trade Commission, fino al Department of Justice e l’Intelligence nazionale), oltre ad una lista di principi generali che gli USA si impegnano a rispettare relativamente alla protezione dei dati.

Per quanto riguarda il settore commerciale, le imprese americane – che autocertificano il rispetto degli obblighi in ambito privacy “aderendo” al Privacy Shield – sono tenute ad essere maggiormente trasparenti relativamente ai trattamenti dei dati, sono sottoposte a meccanismi di controllo e devono rispettare condizioni più rigide per trasferire i dati a destinatari ulteriori. Per tutte le imprese che non rispettano gli obblighi imposti dall’accordo sono previste sanzioni o esclusione dai benefici che questo prevede.

Il Privacy Shield prevede inoltre nuove garanzie per i dati appartenenti a cittadini UE riguardo le attività di accesso a questi ultimi da parte delle autorità pubbliche americane (dati anche gli scomodi precedenti relativi alle attività dell’Intelligence statunitense).

Grazie a questo accordo ai cittadini Europei è assicurata la possibilità, per far valere i propri diritti, di rivolgersi direttamente all’impresa, che deve rispondere, in caso di reclamo da parte di un interessato, entro 45 giorni. È inoltre prevista la possibilità di ricorrere ad un meccanismo di Risoluzione alternativa delle controversie (ADR) gratuito e, in ultima istanza, rivolgersi alla propria Autorità nazionale di protezione dati (che collaborerà con il Department of Commerce e la Federal Trade Commission) o addirittura di rivolgersi al Privacy Shield Panel (Collegio arbitrale del Privacy Shield) per ottenere, se nessun’altra soluzione si è rivelata praticabile, una decisione esecutiva attraverso un meccanismo di arbitrato.

Il Privacy Shield è stato però concepito come un “living instrument” ed è quindi previsto un monitoraggio tanto degli impegni intrapresi a livello di imprese aderenti quanto di quelli a livello pubblico, su base annuale (che invece mancava per il Safe Harbor) La revisione annuale (che per il 2017 avrà luogo a settembre) sarà condotta dalla Commissione Europea e dal Department of Commerce americano con il coinvolgimento di esperti dei servizi di sicurezza americani e delle Autorità nazionali europee per la protezione dei dati. Tale processo comprenderà anche un vertice annuale dedicato agli sviluppi nel settore della normativa privacy negli USA e al relativo impatto sugli europei e si concluderà con la presentazione, da parte della Commissione Europea, di una relazione al Parlamento e al Consiglio, basata sui risultati della revisione annuale congiunta e su altre informazioni pertinenti (ad esempio, le relazioni sulla trasparenza presentate dalle imprese).

Molte sono state le critiche sollevate nei confronti di questo strumento dagli attivisti privacy europei, soprattutto per quanto riguarda la tutela che il Privacy Shield offre rispetto all’attività delle Autorità di pubblica sicurezza americane.

Sarà quindi importante monitorare la revisione annuale dell’accordo, così da capire quale sarà il futuro del Privacy Shield: questo però non deve creare allarmismi, perché, anche qualora l’accordo dovesse nuovamente “saltare”, sarà comunque possibile trasferire flussi di dati negli USA – in caso non sia stato prestato il consenso o non ricorrano le altre basi giuridiche previste dall’attuale articolo 43 del Codice Privacy – sulla base degli altri strumenti ritenuti adeguati già in vigenza della Direttiva privacy 95/46 e ufficialmente riconosciuti dal GDPR agli articoli dal 44 al 50 (le cd. “Binding corporate rules” e le “Model Clauses” approvate dalla Commissione).

Il Privacy Shield funziona inoltre sulla base della scelta delle società con sede negli USA di aderirvi ed esiste un registro online apposito dove si può controllare se una società aderisce o no all’accordo.

 

Dipartimento ICT&IP – Studio Legale DGRS

 

——————————————————————————————————————————————-

Di seguito alcuni link utili per approfondire l’argomento: