Non sembra esservi pace per il c.d. Privacy Shield: dopo la pubblicazione avvenuta lo scorso 30 maggio del parere 4/2016 emesso dall’European Data Protection Supervisor (EDPS), la strada per l’approvazione di una versione definitiva dell’accordo tra Unione Europea e Stati Uniti d’America per la regolamentazione del trasferimento dei dati personali dei cittadini europei al di là dell’Atlantico sembra infatti sempre più impervia.
Nonostante il riconoscimento degli sforzi posti in essere da entrambe le parti interessate, frutto di anni di trattative che avevano portato al raggiungimento di un accordo di massima pubblicato il 2 febbraio 2016 (qui il testo integrale in lingua inglese), tanti sono i dubbi e le preoccupazioni che ancora emergono con riguardo all’effettiva tutela offerta da tale documento, soprattutto con riferimento alla sua tenuta in caso di vaglio in sede giurisdizionale.
IL FATTO:
Dopo le richieste di revisione formulate negli ultimi mesi dal Gruppo dei Garanti Privacy UE e dal Parlamento Europeo (richieste che appaiono come sonore bocciature del testo dell’accordo tanto faticosamente raggiunto, per lo meno nella sua attuale formulazione), è intervenuto sulla questione in oggetto anche l’EDPS, affermando, senza mezzi termini, che il Privacy Shield “does not adequately include […] all appropriate safeguards to protect the EU rights of the individual to privacy and data protection also with regard to judicial redress”.
I principali rilievi sollevati dall’EDPS si muovono in due direzioni: da un lato la genericità ed approssimazione delle eccezioni cui sono soggetti gli obblighi assunti dal governo americano rendono concreta la possibilità che l’accordo trovi applicazione solamente a livello formale, senza incidere in maniera rilevante sulla prassi di sorveglianza indiscriminata dei dati personali dei cittadini europei da parte delle agenzie di intelligence statunitensi, mentre dall’altro si fa eco alle preoccupazioni, di cui si era fatto precedentemente portatore il Gruppo Articolo 29, aventi ad oggetto l’eventualità che l’accordo non sia in grado, a causa delle sue significative carenze, di superare l’esame della Corte di Giustizia dell’Unione Europea.
Secondo l’EDPS, inoltre, l’accordo manca di una prospettiva a lungo termine, difetto la cui origine è da ricondursi ad un approccio troppo focalizzato sul rispetto della normativa attualmente in vigore, senza tenere sufficientemente in considerazione le regole ed i principi stabiliti nel nuovo Regolamento UE 2016/679 (General Data Protection Regulation) che entrerà definitivamente in vigore dal 25 maggio 2018 (abbiamo già avuto modo di esporre alcune delle novità più rilevanti del Regolamento qui).
PERCHÉ È IMPORTANTE:
Quello che doveva essere un periodo di transizione relativamente breve – con la firma dell’accordo definitivo inizialmente prevista per giugno 2016 – sembra quindi destinato ad allungarsi notevolmente, per permettere alla politica di dare una risposta adeguata alle obiezioni formulate in sede istituzionale nei confronti del Privacy Shield.
Le conseguenze sono piuttosto rilevanti, considerando che il trasferimento dei dati personali dall’Unione Europea agli Stati Uniti prosegue ad oggi in assenza di solide basi giuridiche, creando un clima di confusione ed instabilità che danneggia le aziende operanti nel settore del commercio tra le due sponde dell’Atlantico (un mercato dal valore approssimativo di un triliardo di dollari nel 2015), rischiando di tradursi in costi aggiuntivi di cui finirà, inevitabilmente, per risentire il consumatore finale. E questo nonostante sia ormai diffuso il ricorso a meccanismi alternativi, di natura contrattuale, per il trasferimento dei dati personali oltreoceano (quali le Clausole Contrattuali Standard e Binding Corporate Rules).
In considerazione di quanto sopra esposto, appare evidente come ad oggi lo stesso raggiungimento di un accordo sul trasferimento dei dati personali dei cittadini europei verso gli Stati Uniti tenda sempre più ad avere le fattezze di un lontano miraggio.
No Comments