La Commissione Europea ha approvato in data 12 luglio 2016 il c.d. “scudo Privacy UE-USA” (Privacy Shield) che in tema di tutela dei dati personali mira ad offrire maggiori garanzie di tutela dei dati personali tra Europa ed America ed in particolare di quei dati che possano essere trasferiti dalla UE verso gli USA.

Tale accordo politico (EU – U.S. Privacy Shield Framework Principles) che è teso a creare un nuovo regime per gli scambi transatlantici di dati personali a fini commerciali tra Europa ed USA è stato deciso a febbraio 2016 tra la Commissione europea e gli USA dopo che la Corte di Giustizia UE nella causa “Maximillian Schrems v Data Protection Commissioner”, il 6 ottobre 2015 aveva dichiarato l’invalidità della decisione della Commissione sul regime del Safe Harbor Privacy Principles (Principi Privacy dell’Approdo sicuro) che nel novembre 2013 aveva ritenuto necessario rivedere tale regime poichè non avrebbe garantito una protezione sufficiente dei dati personali secondo i dettami europei, poichè gli USA avrebbero dovuto in autonomia poter garantire attraverso norme proprie un livello di adeguatezza volto a tutelare il trasferimento sicuro dei dati personali facendo riferimento non in modo pedissequo alla nostra norma ma garante del principio di protezione delle libertà fondamentali essenzialmente equivalmente a quanto previsto dalla Direttiva 95/46/EC letto alla luce della Carta dei diritti fondamentali.

safe harbor: not so … safe from 6th october 2015!

Sul tema si sono espresse anche le varie Autorità nazionali europee sulla privacy rendendo nota una propria dichiarazione interpretativa e si è giunti così al nuovo accordo approvato, anche pungolati dalla grande mole di dati che trasmigrano dall’Europa e dall’esponenziale richiesta di adesione ai principi Safe Harbour da parte delle imprese americane con il dubbio che il sistema di autocertificazione dapprima previsto di fatto non potesse risultare perfettamente confacente alle regole europee.

La decisione della Commissione Europea dunque interviene nel merito dell'”Adeguatezza” stabilendo che un paese non comunitario possa assicurare un livello adeguato di protezione dei dati personali in ragione della propria legislazione nazionale e degli impegni internazionali presi. Pertanto i 28 Stati membri dell’UE ( ed i tre paesi membri dello Spazio economico europeo : la Norvegia , Liechtenstein e Islanda) possono vedere trasferiti i propri dati personali in tale paese terzo ritenuto adeguato, senza ulteriori restrizioni.

In tal senso lo scudo privacy UE/USA è costituito dai principi privacy shield stessi e dagli impegni istituzionali presi per iscritto da alcune autorità americane (es. il Segretario di Stato John Kerry, il segretario al commercio Penny Pritzker , la Federal Trade Commission e l’Ufficio del direttore della National intelligence).

Le imprese americane, pertanto, archiviati i principi di Safe Harbor, da tempo considerati sorpassati e poco utili, ma soprattutto dichiarati inefficaci dalla stessa Corte di Giustizia Europea, se aderenti allo scudo, ora dovranno adeguarsi ai nuovi dettami che prevedono ancora una forma di autocertificazione del proprio status conforme a quanto prevedono le norme europee in tema di rispetto e di protezione dei dati che vengano trasferiti dall’Europa negli Usa, ma questa volta con il Dipartimento del Commercio degli Stati Uniti che si occuperà di effettuare verifiche e periodici monitoraggi per garantire una compliance non solo meramente formale.

Anche i titolari o responsabili del trattamento europei non potranno ignorare l’introduzione di tali principi qualora abbiano preventivato il trasferimento di dati personali negli USA. Essi dovranno infatti aggiornare i propri contratti ed essere particolarmente cauti nelle clausole che sono riferibili al suddetto trasferimento onde garantire contemporaneamente la chiara informativa all’interessato, la corretta responsabilizzazione delle parti (UE e USA) in causa nonchè la preventiva analisi delle rischiosità, adottando semmai come “best practice” già i principi annunciati dal Regolamento europeo in tema di “privacy by design” e di “privacy by default”.

L’Ufficio del Direttore dell’intelligence nazionale americana ha evidenziato che la raccolta di dati in blocco sarà eventualmente ammissibile infatti solo in presenza di determinati e sporadici presupposti.

L’interessato al trattamento avrà dunque la possibilità di richiedere l’esercizio dei propri diritti o direttamente all’impresa (che dovrebbe fornire una risposta entro 45 giorni e comunque, in alternativa eventualmente tentare una risoluzione alternativa della controversia a titolo gratuito – c.d. “adr” alternative dispute resolution ) o alla propria autorità Garante per la privacy che potrà conferire con la Commissione federale del Commercio USA per garantire che la richiesta venga esaminata e risolta.

Qualora, nonostante i buoni propositi ed approcci il caso non si riuscisse a risolvere potrà comunque essere sottoposto ad arbitrato “Privacy Shield Panel”. Nel caso sorgano problemi di sicurezza nazionale, i cittadini europei possono ricorrere al c.d. mediatore che è una figura indipendente dai servizi d’intelligence degli Stati Uniti.

La “decisione di adeguatezza” è stata notificata agli Stati membri lo scorso 12 luglio 2016, entrando immediatamente in vigore dalla stessa data.

Il Dipartimento del Commercio degli Stati Uniti ha dato l’ avvio allo scudo attraverso un proprio nuovo sito web in data 26 luglio 2016.

Le imprese, per il tramite di questo sito, potranno certificarsi come aderenti presso il Dipartimento del Commercio a partire dal 1o agosto 2016 dalle ore 9.

Va infine ricordato che il gruppo di lavoro Art. 29 che raccoglie l’espressione delle Autorità Garanti per la privacy a livello europeo, ha comunicato che attenderà un anno prima di esprimersi su quanto approvato dalla Commissione Europea, in quanto si teme che, nonostante la “freschezza” dei nuovi principi “scudati” vi possano essere ancora raccolte indiscriminate di dati (es. attraverso il cloud, social media, e-commerce, ecc.) o addirittura ad una sorta di spionaggio sulle comunicazioni collettive relative ad intere nazioni, senza che siano state preventivate informative e misure adeguate, e dunque è prevedibile che entro l’estate 2017 vi sia anche una revisione formale dei nuovi principi.

In ogni caso anche dal punto di vista di marketing le imprese americane listate nel PRIVACY SHIELD LIST risulteranno sicuramente maggiormente appetibili per i players Italiani ed Europei (a meno che il mercato non decida di memorizzare intere montagne di dati in Europa…) e dunque è ancora più evidente per chi fa business internazionale che il tema privacy non può essere evitato.

In tutto questo scenario peraltro il Regno Unito, con la Brexit, non si è ancora espresso anche se l’Associazione Britannica “Information Technology Telecommunications and Electronics”, nota come “TechUK”, che raccoglie 900 imprese tecnologiche ha dichiarato che i nuovi principi “ripristinano una base giuridica stabile” e che in ogni caso le imprese tecnologiche che vorranno essere presenti sul mercato futuro non potranno evitare di non conoscere i contenuti dei principi comunitari sulla privacy (vigenti e quelli che entreranno in vigore nei prossimi anni di cui si conosce già il contenuto) e di questo scudo Privacy.

Summary
Privacy: lo scudo convince la UE
Article Name
Privacy: lo scudo convince la UE
Description
I nuovi principi scudo UE-USA sono volti alla protezione dei dati personali trasferiti dall'Europa agli USA. Commenti alla norma.
Author
Taxlawplanet