Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Il Garante per la privacy ha autorizzato il trasferimento di dati personali dal territorio italiano verso le organizzazioni presenti negli Stati Uniti che figurano nell’elenco degli aderenti al “Privacy Shield”. Nel frattempo, la Corte di Giustizia Europea è chiamata a verificarne la validità.

La nuova autorizzazione (provvedimento del 27 ottobre 2016, pubblicato in Gazzetta Ufficiale il 22 novembre 2016)  sostituisce quella basata sull’accordo “Safe Harbor”, che regolava il trasferimento dei dati verso gli Stati Uniti, dichiarato invalido dalla Corte di Giustizia dell’Unione Europea il 6 ottobre 2015.

La Corte aveva bocciato il “Safe Harbor” accogliendo il ricorso di un cittadino austriaco, Max Schrems, che, muovendo dalle rivelazioni di Edward Snowden sulle violazioni al diritto alla riservatezza da parte della National Security Agency americana, riteneva il diritto e le prassi statunitensi non sufficienti alla protezione dei dati trasferiti dall’Europa.

Con il nuovo accordo, le società private possono accreditarsi per il Privacy Shield presso il Dipartimento del Commercio degli Stati Uniti che verificherà se le policy aziendali sono in linea con lo standard di protezione dei dati richiesta dall’Unione Europea.

Con il provvedimento del Garante, l’Italia si conforma alla decisione della Commissione europea del 12 luglio 2016 che ha riconosciuto al nuovo accordo denominato “EU-U.S. Privacy Shield” un livello adeguato di protezione dei dati personali trasferiti dall’Unione europea ad organizzazioni residenti negli Stati Uniti “certificate” ai sensi dell’accordo.

Il Garante ha specificato che l’Autorità italiana si riserva di effettuare in qualsiasi momento controlli per verificare la liceità e la correttezza del trasferimento dei dati e di ogni operazione ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice privacy. La Commissione, da parte sua, sottoporrà a monitoraggio il funzionamento dello “Scudo” per verificare se gli Stati Uniti continuino a garantire un livello di protezione adeguato. Le verifiche avverranno a cadenza annuale, mentre una, in particolare, è prevista a seguito dell’entrata in vigore del Regolamento sulla protezione dei dati.

Tuttavia, a distanza di pochi mesi dall’entrata in vigore del testo, la Corte di Giustizia europea è stata chiamata a pronunciarsi sull’adeguatezza della tutela assicurata dal Privacy Shield. Infatti, alcune società attive nel campo digitale e operanti trasferimenti di dati personali all’estero sostengono che il Privacy Shield non offra un adeguato livello di protezione.

In particolare, i ricorrenti sostengono che lo “scudo” UE-USA per la privacy non recepisca integralmente i princìpi e i diritti a tutela della protezione dei dati personali contenuti nella direttiva 95/46/CE (che – si ricorda – sarà abrogata a decorrere dal 2018 ad opera del recente Regolamento UE 679/2016) e, conseguentemente, non assicuri in modo adeguato i diritti dei cittadini europei. Nei ricorsi si contesta inoltre che l’accordo non esclude l’accesso indiscriminato alle comunicazioni elettroniche da parte delle autorità straniere così violando il diritto al rispetto alla vita privata, alla protezione dei dati e la libertà di espressione di cui alla Carta dei diritti fondamentali dell’Unione europea (per un approfondimento sul tema si rimanda a QUESTO post).

Come precedentemente evidenziato su questo blog, la decisione nel caso Schrems segna un ulteriore passo verso l’affermazione di un modello europeo contrapposto a quello statunitense e la primazia del controllo giudiziario sugli accordi UE/USA. Per offrire una ampia analisi dell’attuale contesto giuridico, è stato pubblicato il volume “La protezione transnazionale dei dati personali dai “safe harbour principles” al “privacy shield””, curato da Giorgio Resta e Vincenzo Zeno-Zencovich, in cui dodici studiosi analizzano la nuova decisione sotto molteplici aspetti giuridici, prospettando interpretazioni e prospettive anche alla luce del “Privacy Shield” che dovrebbe governare la circolazione trans-atlantica dei dati.

Nel capitolo “La giurisprudenza della Corte di Giustizia in materia di dati personali da Google Spain a Schrems” Giusella Finocchiaro approfondisce le tematiche alla base delle sentenze della Corte di Giustizia.

Il volume è pubblicato sotto licenza “creative commons” ed è dunque liberamente consultabile e disponibile per il download gratuito a QUESTA pagina.

Si discute nuovamente di Privacy Shield, l’accordo regolatore dei flussi transfrontalieri di dati tra Unione europea e Stati Uniti che di recente ha sostituito il previgente Safe Harbor.

A distanza di pochi mesi dall’entrata in vigore del testo, la Corte di Giustizia europea è chiamata a decidere sull’adeguatezza della tutela assicurata dal Privacy Shield.

Alcune società attive nel campo digitale e operanti trasferimenti di dati personali all’estero (tra cui l’ormai nota Digital Rights Ireland Ltd.) sostengono infatti che il Privacy Shield non offra un adeguato livello di protezione, a differenza di quanto ritenuto dalla Commissione europea che il 12 luglio 2016 ha adottato la decisione di adeguatezza rendendo legittimi i trasferimenti di dati verso gli Stati Uniti e le organizzazioni americane aderenti al nuovo accordo.

In particolare, i ricorrenti sostengono che lo “scudo” UE-USA per la privacy non recepisca integralmente i princìpi e i diritti a tutela della protezione dei dati personali contenuti nella direttiva 95/46/CE (che – si ricorda – sarà abrogata a decorrere dal 2018 ad opera del recente Regolamento UE 679/2016) e, conseguentemente, non assicuri in modo adeguato i diritti dei cittadini europei. Nei ricorsi si contesta altresì che l’accordo non esclude l’accesso indiscriminato alle comunicazioni elettroniche da parte delle autorità straniere così violando il diritto al rispetto alla vita privata, alla protezione dei dati e la libertà di espressione di cui alla Carta dei diritti fondamentali dell’Unione europea.

In ragione di tali motivi i ricorrenti hanno impugnato la decisione di adeguatezza della Commissione ai sensi dell’art. 263 TFUE che prevede la possibilità per i soggetti interessati di impugnare ed ottenere l’annullamento degli atti della Commissione entro due mesi dalla loro entrata in vigore o dalla loro pubblicazione.

Giova ricordare a questo punto che il Gruppo di lavoro Art. 29 aveva già espresso le proprie remore relativamente ad alcuni aspetti dell’accordo che non erano stati modificati nonostante le reiterate richieste di revisione. Nello statement del 26 luglio 2016, immediatamente successivo all’adozione del Privacy Shield, il Gruppo dei Garanti europei rilevava che non fossero state disposte concrete misure di sicurezza per evitare la raccolta generalizzata di dati e che non fosse stata assicurata l’indipendenza di ruolo e di poteri di importanti organismi di ricorso (come l’Ombudsperson).

Pare dunque che il nuovo regime non abbia portato all’instaurazione di un clima di certezza del quadro regolatore dei flussi transfrontalieri di dati verso gli Stati Uniti, Paese che evidentemente non riceve ancora fiducia da parte degli operatori europei. Si attende ora la decisione della Corte di Giustizia che potrebbe ritenere inammissibili i ricorsi per difetto di legittimazione o infondatezza di motivi oppure potrebbe decidere di accogliere l’impugnazione.

Svolume-schremsCon una decine di recenti sentenze la Corte di Giustizia Europea ha affermato la rilevanza strategica che la protezione dei dati personali ha assunto nell’Unione Europea. Emerge chiaramente la volontà, apparentemente ovvia, di applicare i principi del diritto europeo al trattamento dei dati personali degli europei. Tuttavia, il tema che si affronta è più ampio e riguarda la difficoltà di giurisdizione su Internet, un non-luogo dove non esistono norme condivise, non essendo individuabile un soggetto politico legittimato a emanare le regole a livello globale.

La decisione nel caso Schrems segna un ulteriore passo verso l’affermazione di un modello europeo contrapposto a quello statunitense e la primazia del controllo giudiziario sugli accordi UE/USA. Per offrire una ampia analisi dell’attuale contesto giuridico, è stato pubblicato il volume “La protezione transnazionale dei dati personali dai “safe harbour principles” al “privacy shield””, curato da Giorgio Resta e Vincenzo Zeno-Zencovich.

Il volume si pone in continuità rispetto a quello sulla precedente sentenza nel caso Google Spain: dodici studiosi analizzano la nuova decisione sotto molteplici aspetti giuridici, prospettando interpretazioni e prospettive anche alla luce del “Privacy Shield” che dovrebbe governare la circolazione trans-atlantica dei dati.

Nel capitolo “La giurisprudenza della Corte di Giustizia in materia di dati personali da Google Spain a Schrems” Giusella Finocchiaro approfondisce le tematiche alla base delle sentenze della Corte di Giustizia.

Il volume è pubblicato sotto licenza “creative commons” ed è dunque liberamente consultabile e disponibile per il download gratuito a questa pagina.

La Commissione Europea aveva adottato la normativa il 12 luglio, lo “scudo” è operativo dal 1 agosto 2016. Adottata anche una “guida per il cittadino” per chiarire come attraverso il Privacy Shield venga tutelato il diritto alla protezione dei dati personali e quali siano gli eventuali rimedi in caso di utilizzo illecito.

Con l’entrata in vigore, le società private possono accreditarsi per il Privacy Shield presso il Dipartimento del Commercio degli Stati Uniti che verificherà se le policy aziendali sono in linea con lo standard di protezione dei dati richiesto dallo scudo.

QUI sono disponibili una serie di post del nostro blog che illustrano gli aspetti regolatori del Privacy Shield.

Per la guida per il cittadino si rimanda invece a QUESTO LINK.

Obblighi rigorosi per le imprese che operano sui dati, trasparenza e tutela dei diritti, questi i principi fondamentali su cui si fonda il nuovo accordo fra EU e USA per gli scambi transatlantici di dati personali a fini commerciali.

Il 12 luglio 2016 la Commissione Europea ha completato la procedura di adozione del “EU-US Privacy Shield.” Lo scudo UE-USA per la privacy dà riscontro ai requisiti stabiliti dalla sentenza del 6 ottobre 2015 con cui la Corte di giustizia dell’Unione europea ha l’invalidato il vecchio regime, il Safe Harbour, in quanto ritenuto privo di sufficienti garanzie sulla tutela della riservatezza dei dati degli utenti europei trasferiti oltreoceano.

La decisione la Corte accoglieva il ricorso di un cittadino austriaco, Max Schrems, intrapreso nel 2013 nei confronti Facebook. Muovendo dalle rivelazioni del caso Snowden, Schrems aveva denunciato le violazioni al diritto alla riservatezza dei cittadini da parte della NSA, ritenendo perciò il diritto e le prassi statunitensi non sufficienti alla protezione dei dati trasferiti dall’Europa.

Con l’accordo del Privacy Shield gli Stati Uniti hanno escluso attività indiscriminate di sorveglianza di massa sui dati personali trasferiti negli Stati Uniti e hanno assicurato ufficialmente all’UE che l’accesso delle autorità pubbliche ai dati per scopi di applicazione della legge e di sicurezza nazionale è soggetto a limitazioni, garanzie e meccanismi di vigilanza precisi. Secondo le precisazioni fornite dall’Ufficio del Direttore dell’intelligence nazionale, la raccolta di dati in blocco sarà eventualmente ammissibile solo in presenza di determinati presupposti, e comunque si tratterà obbligatoriamente di una raccolta quanto più mirata e concentrata possibile.

Nel nuovo regime il Dipartimento del Commercio degli Stati Uniti sottoporrà le imprese aderenti allo scudo a verifiche e aggiornamenti periodici per accertare che rispettino nella pratica le regole che hanno volontariamente accettato. In caso contrario, l’impresa si espone a sanzioni e al depennamento dall’elenco degli aderenti.

Inoltre, il Privacy Shield permetterà a chiunque ritenga che  sia stato compiuto un abuso sui dati che lo riguardano il diritto a presentare una querela attraverso vari meccanismi di composizione delle controversie di agevole accesso e dal costo contenuto. Idealmente sarà l’impresa stessa a risolvere il caso di reclamo oppure saranno offerte gratuitamente soluzioni basate su un organo alternativo di composizione delle controversie (ADR). Le persone si potranno anche rivolgere alle rispettive autorità nazionali di protezione dei dati, che collaboreranno con la Commissione federale del Commercio per assicurare che i casi di reclamo sottoposti da cittadini dell’UE siano esaminati e risolti. Esperiti tutti gli altri mezzi a disposizione, come extrema ratio il caso irrisolto potrà essere sottoposto a arbitrato. Per i casi che implicano la sicurezza nazionale, i cittadini dell’UE dispongono di una possibilità di ricorso nella figura del mediatore, che è indipendente dai servizi d’intelligence degli Stati Uniti.

La Commissione europea e il Dipartimento del Commercio degli Stati Uniti effettueranno un’analisi annuale che consentirà di monitorare il funzionamento dello scudo, compresi gli impegni e le garanzie relative all’accesso ai dati a fini di contrasto della criminalità e finalità di sicurezza nazionale.

Il nuovo regime scaturisce dall’accordo politico del 2 febbraio 2016 fra la Commissione europea e il governo degli Stati Uniti d’America. In seguito, la Commissione ha inserito varie precisazioni e ulteriori miglioramenti basandosi sui pareri espressi delle autorità europee di protezione dei dati (Gruppo dell’articolo 29) e dal garante europeo della protezione dei dati e sulla risoluzione del Parlamento europeo. In particolare, la Commissione europea e gli Stati Uniti hanno concordato ulteriori precisazioni sulla raccolta di dati in blocco, il rafforzamento del meccanismo di mediazione e una maggiore esplicitazione degli obblighi delle imprese quanto ai limiti applicabili alla conservazione e all’ulteriore trasferimento.

L’Article 29 Working Party ha accolto la pubblicazione dei testi giuridici alla base del cosiddetto Privacy Shield, lo scudo UE-USA per la privacy.

I testi, presentati dalla Commissione europea lo scorso 29 febbraio, comprendono i principi che le imprese sono tenute a rispettare, nonché gli impegni scritti del governo degli Stati Uniti (che saranno pubblicati nel U.S. Federal Register) sull’applicazione dell’accordo, comprese assicurazioni sul rispetto delle garanzie e delle limitazioni in materia di accesso ai dati da parte delle autorità pubbliche.

In accordo con l’art. 30(1)(c) della Direttiva 95/46/CE, l’Article 29 Working Party ha annunciato che procederà con un’analisi molto accurata dei testi e della bozza di “adequacy-decision” della Commissione Europea per determinare il livello di protezione garantito dall’accordo USA-UE Privacy Shield. Il parere del Working Party, composto da rappresentanti degli Stati membri e le autorità europee per la protezione dei dati, sarà determinante per procedere con la decisione finale del collegio.

In quest’ottica, i vari gruppi di lavoro del Working Party si mobiliteranno per soppesare i  livelli di garanzie dell’accordo, sia in considerazione degli aspetti commerciali, sia delle limitazioni alla sicurezza nazionale, all’interesse pubblico e dei processi di enforcement.

Il giudizio del Working Party terrà conto, inter alia, della sentenza della corte di giustizia dell’Unione Europea del 6 ottobre 2015 sul caso Schrems, della giurisprudenza europea sul tema dei diritti umani fondamentali, della lettera del 10 aprile 2014 sul Safe harbor inviata dal Working Party alla Commissione Europea e dei documenti del Working Party relativi ai trasferimenti di dati personali verso paesi terzi.

La bozza di parere del Working Party verrà presentata allla prossima assemblea plenaria del 12 e 13 aprile 2016.

Ultimo capitolo della nostra analisi sul testo dell’emanando Regolamento europeo “concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”. Esaminiamo qui il tema, di grande attualità dei trasferimenti di dati all’estero.

La Proposta di regolamento subordina la legittimità dei trasferimenti di dati verso Paesi extra Ue ad una valutazione di adeguatezza da parte della Commissione europea circa il livello di protezione assicurato in quel determinato Stato (art. 41). In assenza di una decisione di tale ordine, il trasferimento potrà avvenire solo in presenza di garanzie adeguate (ad esempio, clausole tipo di protezione dei dati, norme vincolanti d’impresa, clausole contrattuali) o al ricorrere di particolari evenienze (rispettivamente, artt. 42 e 44).

Con riguardo alla prima deroga, è la stessa Commissione europea ad aver adottato una serie di pacchetti di “clausole-tipo” sulla scorta dell’art. 26 della direttiva 95/46/CE: attraverso l’inserimento di tali clausole standard nel contratto utilizzato per il trasferimento, l’esportatore dei dati garantisce che questi ultimi saranno trattati conformemente ai principi stabiliti nella Direttiva anche nel Paese terzo importatore. In particolare, la Commissione si è resa promotrice dell’elaborazione di clausole contrattuali tipo attraverso quattro diverse decisioni (rispettivamente, del 15 giugno 2001, 27 dicembre 2001, 27 dicembre 2004 e 5 febbraio 2010) che rivestono una particola importanza nell’ottica di semplificare i rapporti internazionali.

L’adozione di clausole contrattuali tipo non è, tuttavia, l’unico strumento tramite il quale operare legittimamente un trasferimento di dati verso Paesi terzi: infatti, sebbene possano essere impiegate esclusivamente nell’ambito di trasferimenti di dati infra-gruppo, sempre più frequente è il ricorso alle cc.dd. binding corporate rules (BCR), una serie di clausole che stabiliscono principi vincolanti al cui rispetto sono tenute tutte le società appartenenti allo stesso gruppo d’impresa (corporate). In questo caso, le clausole incorporano i principi fondamentali in materia di protezione dei dati personali, come ad esempio i principi di correttezza e legittimità del trattamento, finalità, necessità e proporzionalità dei dati, l’obbligo del titolare di fornire l’informativa, e così via. Tali clausole traggono efficacia dall’autorizzazione del Garante al trasferimento dei dati personali verso Paesi terzi ex art. 44, lett. a) del d.lgs. 196/2003, la quale viene concessa solo a seguito dell’espletamento della procedura a livello europeo, che vede la cooperazione tra le Autorità Garanti dei diversi Stati membri che risultano coinvolti nel flusso transfrontaliero di dati.

Le stesse Autorità Garanti nazionali non possono, tuttavia, adottare provvedimenti contrari ad una decisione di adeguatezza dell’esecutivo europeo, sulla scorta di quanto stabilito dalla Corte di Giustizia europea nella recentissima sentenza Schrems del 6 ottobre 2015 (C-364/14): in altre parole, qualora la Commissione abbia già dichiarato legittimo il trasferimento di dati verso un determinato Paese terzo, l’Autorità Garante nazionale non potrà adottare provvedimenti interni di sospensione o di divieto di trasferimenti di dati nei confronti di quei sistemi terzi già reputati adeguati dalla Commissione.

Ciò non toglie che il Garante possa esaminare le doglianze dei cittadini che lamentino una mancanza di protezione dei propri dati trasferiti in un Paese terzo; in tal caso, qualora le domande risultino fondate, il Garante avrà il dovere di “agire in giustizia” (par. 63-65), ossia di proporre ricorso alle autorità giurisdizionali del proprio Stato membro ai fini di un rinvio pregiudiziale ai giudici europei che esamineranno la validità della decisione di adeguatezza della Commissione.

Per maggiori approfondimenti sul contenuto e sulla portata della decisione della Corte di giustizia sul caso Shrems si rimanda all’analisi di Giusella Finocchiaro.

Ripristinare la fiducia nei trasferimenti transatlantici di dati mediante forti misure di salvaguardia: la Commissione europea presenta lo scudo UE-USA per la privacy.

Il 29 febbraio 2016 la Commissione europea ha pubblicato i testi giuridici che instaurano lo scudo UE-USA per la privacy che comprendono i principi che le imprese sono tenute a rispettare, nonché gli impegni scritti del governo degli Stati Uniti (che saranno pubblicati nel U.S. Federal Register) sull’applicazione dell’accordo, comprese assicurazioni sul rispetto delle garanzie e delle limitazioni in materia di accesso ai dati da parte delle autorità pubbliche.

Una volta adottato, il meccanismo di accertamento dell’adeguatezza della protezione dei dati stabilirà se le garanzie fornite al momento del trasferimento dei dati sono equivalenti alle norme in materia di protezione dei dati nell’UE. Il nuovo quadro rispecchia i requisiti stabiliti dalla Corte europea di giustizia nella sentenza del 6 ottobre 2015. Le autorità statunitensi si sono formalmente impegnate a che lo scudo per la privacy sia rigorosamente rispettato e hanno escluso qualsiasi atto di sorveglianza di massa o indiscriminata da parte delle autorità di sicurezza nazionali in futuro.

I pilastri del Privacy Shield sono:

- Imposizione di obblighi precisi alle società: il nuovo accordo sarà trasparente e comprenderà efficaci meccanismi di vigilanza, fra cui quello di sanzioni o esclusione in caso di inadempienza, al fine di garantire che le società rispettino i loro obblighi. Le nuove regole comprendono anche condizioni più rigorose per i trasferimenti successivi ad altri partner dalle società che partecipano al programma.

- Garanzie chiare e obblighi di trasparenza applicabili all’accesso da parte del governo degli Stati Uniti: per la prima volta, gli Stati Uniti hanno fornito all’UE una garanzia scritta, da parte dell’Ufficio del Direttore dell’intelligence nazionale, che assicura che tutti i diritti di accesso delle autorità pubbliche ai fini della sicurezza nazionale saranno soggetti a precisi limiti, garanzie e meccanismi di controllo, e sarà impedito l’accesso generalizzato ai dati personali. John Kerry, segretario di Stato statunitense, si è impegnato a introdurre una possibilità di ricorso in materia di intelligence nazionale per i cittadini dell’UE tramite un meccanismo basato sulla figura del mediatore all’interno del Dipartimento di Stato, che sarà indipendente dai servizi di sicurezza nazionali. Il Mediatore tratterà i reclami e le richieste di informazioni da parte di singoli cittadini dell’UE e li informerà se le normative in materia sono state rispettate. Tali impegni scritti saranno pubblicati nel U.S. Federal Register.

- Protezione effettiva dei diritti dei cittadini dell’UE con diverse possibilità di ricorso: i reclami devono essere risolti dalle imprese entro 45 giorni. Sarà disponibile una soluzione consistente nella composizione extragiudiziale gratuita delle controversie. I cittadini dell’UE si potranno anche rivolgere alle loro autorità nazionali di protezione dei dati, che collaboreranno con la Commissione federale per il commercio per assicurare che i reclami dei cittadini dell’UE vengano esaminati e risolti. Qualora una controversia non sia stata risolta mediante detti mezzi, si potrà far ricorso, in ultima istanza, ad un meccanismo di arbitrato, la cui decisione sarà esecutiva. Inoltre, le imprese possono impegnarsi a rispettare il parere delle autorità di protezione dei dati dell’UE. Tale disposizione è obbligatoria per le imprese che trattano dati relativi alle risorse umane.

- Meccanismo annuale di riesame congiunto: Il meccanismo consentirà di monitorare il funzionamento del Privacy Shield, compresi gli impegni e le garanzie relative all’accesso ai dati a fini di contrasto della criminalità e finalità di sicurezza nazionale. La Commissione europea e il ministero del Commercio degli Stati Uniti procederanno al riesame, e inviteranno esperti nazionali di intelligence degli Stati Uniti e delle autorità europee di protezione dei dati a parteciparvi. In base al riesame annuale, la Commissione presenterà una relazione al Parlamento europeo e al Consiglio.

Prima che il collegio prenda una decisione finale sarà richiesto un parere dell’Article 29 Working Group, composto da rappresentanti degli Stati membri e le autorità europee per la protezione dei dati. Nel frattempo, la parte statunitense provvederà ai necessari preparativi per porre in atto il nuovo quadro, i meccanismi di monitoraggio e il nuovo meccanismo di mediazione.

In seguito all’adozione del Judicial Redress Act da parte del Congresso degli Stati Uniti, firmato dal presidente Obama il 24 febbraio, la Commissione proporrà a breve la firma dell’accordo quadro. La decisione di conclusione dell’accordo dovrebbe essere adottata dal Consiglio dopo aver ottenuto l’approvazione del Parlamento europeo.

Una nuova intesa sul trasferimento dei dati, basata su “pesi e contrappesi opportuni” è stata annunciata in questi giorni dal vice presidente della Commissione Europea, Andrus Ansip. Quello che è stato battezzato Privacy Shield, sarà sottoposto al vaglio dei garanti europei, che da tempo avevano richiesto la messa a punto di un quadro legislativo internazionale per la tutela dei dati dei cittadini del continente.

Il precedente accordo Safe Harbour, durato 15 anni, e che aveva regolato 4 mila aziende che operano sul Web, è stato invalidato dalla Corte di Giustizia Ue il 6 ottobre, in quanto ritenuto privo di sufficienti garanzie sulla tutela della riservatezza dei dati degli utenti europei trasferiti oltreoceano.

ll Privacy Shield dovrebbe perciò in prima istanza ottemperare alla questione sollevata dalla Corte.

Secondo quanto annunciato, con l’entrata in vigore del Privacy Shield, sarà possibile importare oltreoceano dati personali provenienti dall’Europa accettando condizioni stringenti su come possano essere elaborati in garanzia dei diritti dei cittadini. Si passerebbe così dalle autocertificazioni del Safe Harbor a impegni vincolanti, verificabili dalla Federal Trade Commission americana.

I cittadini europei avranno a disposizione diverse opzioni per fare opposizione al trattamento dei dati personali quando ritenuto opportuno. Le aziende americane dovranno rispondere alle contestazioni entro limiti di tempo stabiliti. In caso di inadempienza, i cittadini europei potranno rivolgersi alle autorità nazionali per la tutela dei dati personali, quindi al Department of Commerce e alla Federal Trade Commission USA. Nei casi che coinvolgeranno le autorità di intelligence, si ricorrerà al giudizio di una terza figura indipendente, stabilita dal Privacy Shield.

In merito all’accesso ai dati da parte delle autorità governative USA, il commissario europeo Jourova ha pubblicamente assicurato che il nuovo accordo politico prevede “che i dati degli europei non verranno sottoposti a sorveglianza indiscriminata”. Infatti, “per la prima volta in assoluto gli Stati Uniti hanno dato all’Unione Europea garanzie vincolanti che l’accesso da parte delle autorità giudiziarie e per la sicurezza nazionale sarà soggetto a limitazioni, tutele e meccanismi di controllo chiari”. Le eventuali eccezioni contemplate potranno essere “adottate solo in maniera necessaria e proporzionata”, impedendo il verificarsi di controlli di massa sui dati personali trasferiti negli USA. Un’analisi annuale congiunta della Commissione Europea e del Department of Commerce verificherà il rispetto degli accordi presi.

Il Privacy Shield è in questi giorni passato al vaglio dei garanti europei riuniti nell’Articolo 29 Working Party. Il Commissario europeo Jourova, che parteciperà alla discussione con i garanti, prevede l’entrata in vigore del nuovo accordo entro tre mesi.

Il Gruppo di lavoro sull’Articolo 29 ha rilasciato un comunicato in cui annuncia la richiesta alla Commissione di ulteriori documenti per valutare l’efficacia delle regole del nuovo accordo. Un’analisi approfondita risulterebbe necessaria per verificare che le clausole legali possano davvero fornire una soluzione sicura alle “preoccpuazioni” sul trasferimento dei dati internazionali sollevate dalla sentenza del caso Schrems.

Per approfondimenti:

QUI il testo della sentenza Causa C-362-14

QUI il comunicato dell’Articolo 29 Working Party

QUI il Comunicato Stampa della Commissione Europea sul Privacy Shield