Lo scorso 12 luglio la Commissione Europea ha completato la procedura di adozione dello scudo UE – USA per la privacy, il cosiddetto Privacy Shield, offrendo maggiori certezze alle imprese che effettuano trasferimenti di dati oltreoceano.
Il testo adottato tiene conto innanzitutto del parere espresso il 13 aprile dal Gruppo di Lavoro art. 29, che aveva sottolineato la necessità di lavorare sui testi elaborati fino a quel momento al fine di porre in essere dei miglioramenti. In primis, per quanto attiene all’eccessivo spazio d’azione lasciato alle Autorità di pubblica sicurezza statunitensi e, in secondo luogo, al fine di garantire un livello di tutela almeno pari a quello offerto dal nuovo Regolamento Europeo in tema di protezione dei dati personali.
Il 26 maggio, invece, il Parlamento Europeo ha approvato una risoluzione non legislativa, mediante la quale ha invitato la Commissione Europea a portare avanti le negoziazioni con gli Stati Uniti per rimediare alle carenze del Privacy Shield. Tra queste, la mancanza di indipendenza e di poteri effettivi in capo alla nuova figura del Mediatore di Stato, la presenza di meccanismi di ricorso eccessivamente complessi, la possibilità di raccogliere grandi quantità di dati, che in alcuni casi si porrebbe in contrasto con i principi di necessità e proporzionalità.
Dal canto suo, anche il Garante Europeo per la protezione dei dati personali Giovanni Buttarelli ha espresso le proprie preoccupazioni rispetto al nuovo accordo, evidenziandone la mancanza di solidità e, dunque, il rischio che possa essere nuovamente invalidato dalla Corte di Giustizia UE.
Ad ogni modo, la Commissaria per la Giustizia Vĕra Jourová ha sottolineato come lo scudo UE – USA per la privacy costituisca un grande passo avanti rispetto al passato, in quanto offrirà ai cittadini europei standard più elevati di protezione dei dati personali, anche alla luce del fatto che il rispetto delle disposizioni ivi contenute sarà continuamente monitorato.
Difatti, le imprese che decideranno di autocertificarsi come aderenti al nuovo regime saranno sottoposte a verifiche ed aggiornamenti periodici da parte del Dipartimento del Commercio degli Stati Uniti, il quale avrà il compito di accertare che vengano in concreto rispettati i principi contenuti all’interno del nuovo accordo, volontariamente accettati da parte delle imprese aderenti. Infatti, la violazione delle disposizioni dello scudo UE – USA per la privacy espone le imprese a sanzioni, o addirittura alla rimozione dalla “Privacy Shield list”, l’elenco dei soggetti aderenti al nuovo regime. In quest’ultimo caso il Dipartimento del Commercio statunitense dovrà verificare che i dati personali in precedenza ricevuti vengano cancellati o quantomeno restituiti.
L’obbligo di rispettare le disposizioni contenute all’interno del Privacy Shield vale anche con riferimento alle aziende alle quali i dati siano successivamente trasferiti. Dunque, i cittadini europei godranno di uno standard di protezione particolarmente elevato anche in tale ultima ipotesi.
La gestione delle controversie
Per quanto attiene, poi, ai meccanismi di ricorso messi a disposizione degli interessati, il nuovo accordo prevede sistemi di risoluzione delle controversie di facile accesso e dai costi contenuti. Chiunque ritenga di aver subito un abuso potrà, infatti, rivolgersi all’impresa stessa affinché risolva il caso di reclamo, o in alternativa ad un organo alternativo di composizione delle controversie. Fondamentale è, inoltre, il ruolo svolto al riguardo dalle Autorità di protezione dei dati dei vari Paesi dell’UE, che lavoreranno attivamente con la Commissione federale del Commercio per verificare che i casi di reclamo vengano effettivamente trattati e risolti.
Soltanto nell’ipotesi in cui gli interessati abbiano esaurito tutti i meccanismi di ricorso a disposizione, potranno sottoporre il caso ad un arbitrato e, se si tratta di controversie che interessano la sicurezza nazionale, rivolgersi alla nuova figura del mediatore, indipendente dai servizi di intelligence degli Stati Uniti. Si è deciso poi di prevedere un meccanismo mediante il quale controllare il rispetto delle disposizioni contenute all’interno del nuovo accordo, vista l’importanza rivestita da quest’ultimo. Il funzionamento dello scudo UE – USA per la privacy verrà, infatti, continuamente monitorato dal Dipartimento del Commercio degli Stati Uniti e dalla Commissione Europea, la quale a sua volta, esaminando tutti gli elementi a sua diposizione, riferirà pubblicamente al Parlamento Europeo e al Consiglio. L’analisi comune appena descritta avrà ad oggetto anche gli impegni presi dal governo statunitense per quanto attiene all’accesso ai dati ai fini di contrasto della criminalità e finalità di sicurezza nazionale.
Il nuovo accordo prevede, tra l’altro, obblighi di trasparenza ben precisi e garanzie chiare in capo al governo degli Stati Uniti rispetto all’accesso ai dati. È esclusa, infatti, la possibilità di procedere in maniera indiscriminata alla raccolta in blocco di dati personali, consentita soltanto in presenza di presupposti ben precisi e previamente determinati.
È evidente come l’approvazione dello scudo UE – USA per la privacy si inserisca in un periodo particolarmente vivace per quanto attiene alla tutela dei dati personali. Lo scorso 14 aprile, infatti, è stato approvato il nuovo Regolamento europeo in tema di privacy, che andrà a sostituire definitivamente la Direttiva 95/46/CE a partire dal 25 maggio 2018.
Ad ogni modo, una volta aggiornate pratiche e politiche interne per potersi conformare allo scudo, la imprese potranno, a partire dal 1 agosto 2016, certificarsi come aderenti allo stesso presso il Dipartimento del Commercio degli Stati Uniti. A partire da tale momento esse saranno obbligatoriamente tenute a rispettare le disposizioni contenute all’interno del nuovo accordo.
* Gabriele Faggioli, giurista, CEO di P4I – Partners4Innovation, Presidente Clusit e Adjunct professor MIP – Politecnico di Milano
* Chiara Giorgini, Legal Consultant P4I – Partners4Innovation