A seguito dell’accordo politico raggiunto con gli USA in merito alla regolamentazione dei flussi transatlantici dei dati, lo scorso 29 febbraio la Commissione Europea ha pubblicato i testi giuridici che instaurano lo scudo UE – USA per la privacy.
Who's Who
Gabriele Faggioli
CEO di Digital360, CEO di P4I - Partners4Innovation, Presidente Clusit
Oltre ai principi che dovranno essere osservati dalle aziende americane che desiderano importare dati personali dall’Europa, la Commissione Europea ha illustrato in un comunicato stampa le azioni adottate negli ultimi anni per ripristinare la fiducia nel trasferimento di dati personali oltreoceano, soprattutto a seguito delle divulgazioni sulla sorveglianza di massa del 2013.
Sempre del 29 febbraio 2016 è la pubblicazione, da parte della Commissione Europea, di un progetto di “decisione sull’adeguatezza” del Privacy Shield (“draft adequacy decision”). In accordo con l’art. 30 Direttiva 95/46/CE, il Gruppo di Lavoro art. 29 esaminerà i testi e la bozza di “adequacy – decision” al fine di valutare il livello di protezione offerto dallo scudo UE – USA per la privacy. Il parere del Gruppo di Lavoro sarà fondamentale per la decisione finale che dovrà essere adottata da parte della Commissione Europea.
Con il Privacy Shield, i dati in possesso di aziende come Google o Facebook, o anche Ebay o Amazon, che vengano trasferiti negli USA, godranno di un elevato livello di protezione. Le aziende statunitensi che vorranno importare dati personali dall’Europa agiranno, infatti, sotto il controllo del Department of Commerce e dovranno verificare che gli obblighi relativi ai diritti individuali siano rispettati anche da aziende a cui, eventualmente, i dati vengano successivamente trasferiti. La Commissione Europea ha assicurato che “le tutele viaggeranno con i dati”. Le imprese potranno, inoltre, impegnarsi a rispettare il parere delle Autorità di protezione dei dati dell’UE, previsione obbligatoria qualora vengano trattati dati relativi alle risorse umane.
Significativa è, tra l’altro, la previsione secondo cui le aziende che non rispettino i principi contenuti all’interno del nuovo accordo verranno rimosse dalla “Privacy Shield list”: a partire da questo momento esse non potranno più beneficiare della decisione di adeguatezza della Commissione Europea, che consente loro di ricevere dati personali dall’UE. Tale previsione appare conforme a quanto previsto all’interno del nuovo Regolamento in tema di privacy, il quale subordina il trasferimento dei dati extra – UE ad una valutazione della Commissione Europea circa il livello di protezione dei dati offerto in quel determinato Stato.
Per monitorare regolarmente il funzionamento del nuovo regime si procederà con una revisione congiunta annuale, condotta dal Department of Commerce e dalla Commissione Europea, alla quale verranno invitati esperti nazionali di intelligence degli Stati Uniti e delle Autorità europee di protezione dei dati. Il meccanismo annuale di riesame congiunto consentirà, tra l’altro, di valutare il rispetto da parte degli USA degli impegni e delle garanzie relativi all’accesso ai dati a fini di contrasto della criminalità e per finalità di sicurezza nazionale.
Con il Privacy Shield, i cittadini dell’Unione Europea godranno di una protezione effettiva. Essi potranno rivolgersi direttamente alle aziende, le quali avranno l’obbligo di trattare il reclamo entro 45
giorni, oltre che alle Autorità Garanti del proprio Paese, che potranno presentare dei casi direttamente al Department of Commerce e alla Federal Trade Commission. E’ poi prevista l’istituzione di un difensore civico (il c.d. “Ombudsperson”), al quale i cittadini potranno rivolgersi nel caso in cui sospettino che i propri dati personali siano stati utilizzati illegalmente dalle Autorità di intelligence statunitensi. Tale soggetto lavorerà all’interno del Dipartimento di Stato, ma sarà indipendente dai servizi di sicurezza nazionale. Inizialmente la posizione del Difensore civico sarà affidata all’ex dirigente di Apple Catherine Novelli, attualmente sottosegretario di Stato.
Le garanzie offerte dagli Stati Uniti
Infine, gli Stati Uniti hanno per la prima volta fornito all’Unione Europea una garanzia scritta, da parte dell’Ufficio del Direttore dell’intelligence nazionale, relativa al fatto che saranno previsti precisi limiti, garanzie e meccanismi di controllo in tema di accesso delle Autorità pubbliche a fini di sicurezza nazionale e sarà altresì impedito l’accesso generalizzato ai dati personali. Sono previste delle eccezioni al riguardo, ad esempio la raccolta dei dati per prevenire attentati. “A guidarci devono essere i criteri di necessità e proporzionalità”, ha precisato la Commissaria UE alla Giustizia Jourovà.
La questione si inserisce proprio all’indomani del rifiuto del rifiuto opposto da Apple alla richiesta del Giudice Federale Shery Pym di “sbloccare” uno smartphone appartenuto a uno degli attentatori della strage di San Bernardino del 2 Dicembre scorso. L’FBI, in particolare, aveva chiesto di poter disabilitare alcune delle tecnologie di sicurezza dello smartphone, al fine di poterne esplorare il contenuto.
Soddisfazioni in merito al contenuto dell’accordo sono state espresse dal Segretario al commercio degli Stati Uniti, Penny Pritzker, il quale ha dichiarato che “il Privacy Shield tra UE e USA è un’enorme vittoria per la privacy, per gli individui e per le aziende su entrambe le sponde dell’Atlantico”. Anche la Commissaria UE alla Giustizia Jourovà ha dichiarato che l’accordo rafforzerà le tutele dei cittadini per quanto attiene alla protezione dei dati personali.
Lo studente di legge Max Schrems, che aveva promosso una causa contro Facebook in un Tribunale europeo, ha dal canto suo dichiarato che in realtà “i problemi principali del Safe Harbor non sono stati risolti” e che “il nuovo accordo non supererà lo scrutinio della Corte di Giustizia Europea”.
Si attende ora il parere del Gruppo di Lavoro “Articolo 29”. Parallelamente gli Stati Uniti si daranno da fare per attuare i meccanismi di monitoraggio e il nuovo sistema di mediazione previsti dallo scudo UE – USA per la privacy. La Commissione Europea, inoltre, dovrebbe proporre a breve la firma dell’accordo quadro e la decisione di conclusione dell’accordo sarà adottata dal Consiglio solo dopo aver ottenuto l’approvazione del Parlamento Europeo.
*Gabriele Faggioli, giurista, è partner di P4I