Al termine di un percorso complesso ed irto di ostacoli, il 12 luglio 2016 la Commissione Europea ha ultimato la procedura di adozione dell’accordo sullo scambio di dati personali tra l’Unione Europea e gli Stati Uniti d’America, denominato “Privacy Shield”, approvato nella sua versione definitiva, riveduta e migliorata anche alla luce dei pareri non propriamente positivi espressi in successione dai Garanti Privacy UE, dal Parlamento Europeo e dall’European Data Protection Supervisor (ne avevamo parlato qui).

IL FATTO:

Il Privacy Shield, frutto della collaborazione tra autorità europee di protezione dei dati, Parlamento Europeo, Stati membri e controparti statunitensi, introduce un nuovo regime, studiato per tutelare i diritti fondamentali dei cittadini europei i cui dati personali siano trasferiti oltreoceano e garantire la certezza del diritto nei confronti delle imprese che operano in tale contesto.

In definitiva, il nuovo scudo a protezione dei dati personali si fonda sui principi esposti qui di seguito:

• Obblighi rigorosi per le imprese che operano sui dati: nel nuovo regime il Dipartimento del Commercio degli Stati Uniti sottoporrà le imprese aderenti allo scudo a verifiche e aggiornamenti periodici per accertare che rispettino nella pratica le regole che hanno volontariamente accettato. In caso contrario, l’impresa si espone a sanzioni e al depennamento dall’elenco degli aderenti. L’inasprimento delle condizioni applicabili all’ulteriore trasferimento garantirà lo stesso livello di protezione anche quando l’impresa aderente allo scudo trasferisce i dati a terzi.
• Garanzie chiare e obblighi di trasparenza applicabili all’accesso da parte del governo degli Stati Uniti: gli Stati Uniti hanno assicurato ufficialmente all’UE che l’accesso delle autorità pubbliche ai dati per scopi di applicazione della legge e di sicurezza nazionale è soggetto a limitazioni, garanzie e meccanismi di vigilanza precisi. La novità è che qualsiasi persona nell’UE disporrà di meccanismi di ricorso in questo settore. Gli Stati Uniti hanno escluso attività indiscriminate di sorveglianza di massa sui dati personali trasferiti negli Stati Uniti nell’ambito dello scudo. Secondo le precisazioni fornite dall’Ufficio del Direttore dell’intelligence nazionale, la raccolta di dati in blocco sarà eventualmente ammissibile solo in presenza di determinati presupposti, e comunque si tratterà obbligatoriamente di una raccolta quanto più mirata e concentrata possibile. L’Ufficio ha illustrato nei particolari le garanzie vigenti riguardo all’uso dei dati in tali circostanze eccezionali. Il Segretario di Stato degli USA ha istituito all’interno del Dipartimento di Stato una via di ricorso aperta agli europei per gli aspetti legati all’intelligence nazionale: il meccanismo di mediazione.
• Tutela effettiva dei diritti individuali: chiunque ritenga che, nell’ambito dello scudo, sia stato compiuto un abuso sui dati che lo riguardano ha a disposizione vari meccanismi di composizione delle controversie di agevole accesso e dal costo contenuto. Idealmente sarà l’impresa stessa a risolvere il caso di reclamo oppure saranno offerte gratuitamente soluzioni basate su un organo alternativo di composizione delle controversie (ADR). Le persone si potranno anche rivolgere alle rispettive autorità nazionali di protezione dei dati, che collaboreranno con la Commissione federale del Commercio per assicurare che i casi di reclamo sottoposti da cittadini dell’UE siano esaminati e risolti. Esperiti tutti gli altri mezzi a disposizione, come extrema ratio il caso irrisolto potrà essere sottoposto a arbitrato. Per i casi che implicano la sicurezza nazionale, i cittadini dell’UE dispongono di una possibilità di ricorso nella figura del mediatore, che è indipendente dai servizi d’intelligence degli Stati Uniti.
• Analisi annuale comune: il meccanismo consentirà di monitorare il funzionamento dello scudo, compresi gli impegni e le garanzie relative all’accesso ai dati a fini di contrasto della criminalità e finalità di sicurezza nazionale. La Commissione europea e il Dipartimento del Commercio degli Stati Uniti effettueranno l’analisi, alla quale assoceranno esperti dell’intelligence nazionale statunitense e le autorità europee di protezione dei dati. La Commissione attingerà a tutte le altre fonti di informazioni disponibili e presenterà una relazione pubblica al Parlamento europeo e al Consiglio.

PERCHÉ È IMPORTANTE:

Una volta che il Dipartimento del Commercio statunitense avrà studiato il regime e aggiornato le proprie pratiche e politiche per conformarvisi, le imprese americane potranno certificarsi secondo il nuovo regime a partire dal 1° di agosto. La Commissione Europea pubblicherà nel frattempo una breve guida per informare i cittadini dei mezzi di ricorso di cui dispone la persona che ritiene che i suoi dati personali siano stati usati senza tener conto delle norme sulla protezione dei dati.

Nonostante i dubbi e le perplessità emersi, anche a livello istituzionale, nel lungo percorso di approvazione, e che ancora permangono, soprattutto con riferimento alla tenuta dell’accordo al momento del vaglio in sede giurisdizionale, il Privacy Shield è stato accolto con favore dagli operatori del settore, poiché rappresenta la tanto attesa risposta al vuoto normativo causato dalla sentenza del 6 ottobre 2015, con cui la Corte di Giustizia dell’Unione Europea aveva dichiarato l’invalidità della decisione della Commissione 2000/520/CE (c.d. decisione “Safe Harbour”). L’adeguatezza e la solidità di tale risposta, tuttavia, potranno essere valutate solo a posteriori, in relazione alla concreta operatività della nuova disciplina.