Pubblicati i testi del Privacy Shield per il trasferimento dei dati personali in USA. Come fare per adeguarsi?

privacy shield trasferimento dati usa

La Commissione Europea ha diffuso i testi riguardanti il Privacy Shield, rendendo pubblico il relativo progetto di Decisione di Adeguatezza che andrà a sostituire il Safe Harbour, in riferimento ai trasferimenti di dati personali dall’Europa verso gli Stati Uniti.

Il testo descrive le norme che le aziende devono rispettare, nei casi di trasferimento dei dati personali di cittadini europei verso gli USA e gli impegni del governo statunitense (che saranno pubblicati nel Registro Federale) al rispetto dei principi della normativa privacy europea e della disposizione qui ad oggetto, comprese garanzie scritte relative ai limiti di accesso ai dati da parte delle autorità pubbliche americane per motivi di sicurezza.

Il presidente Obama ha sottoscritto il Judicial Redress Act con cui garantisce ai cittadini europei il diritto di essere risarciti dalle violazioni sui dati personali davanti alle corti degli Stati Uniti.

Lo schema di decisione di adeguatezza denominato Privacy Shield, secondo il testo pubblicato, dunque prevede pesanti obblighi in capo alle aziende:

MECCANISMI DI CONTROLLO

Il nuovo accordo individua meccanismi di controllo trasparenti ed efficaci per garantire il rispetto delle regole, escludendo dall’accordo stesso e sanzionando le aziende che non rispettano le norme.

OBBLIGO DI RENDERE L'INFORMATIVA

Le aziende che hanno interesse a trasferire dati verso gli USA saranno tenute a rispettare l’obbligo di rendere l’informativa e dunque fornire agli interessati una serie d’informazioni relative al trattamento dei dati personali (ad esempio, il tipo di dati gestiti, le finalità del trattamento, i diritti di accesso, le condizioni per i trasferimenti successivi verso altri partner e le responsabilità).

POLICY PER LA PRIVACY ADEGUATE

Le aziende partecipanti hanno l’bbligo di redigere adeguate policy sulla privacy e renderle pubbliche e di fornire collegamenti al sito web del Dipartimento del Commercio statunitense (con ulteriori dettagli sulla autocertificazione, i diritti degli interessati e i meccanismi di ricorso disponibili) e al sito di un fornitore di servizi di risoluzione alternativa delle controversie.

TRASFERIMENTI DI DATI VERSO ALTRI PARTNER

Nei trasferimenti successivi verso altri partner o nell’utilizzo dei dati per finalità diverse da quelle di raccolta occorre prevedere la possibilità di negare il consenso (opt-out) per gli interessati che intendono opporsi. Qualsiasi trasferimento successivo di dati personali da parte di responsabili o incaricati di un’azienda può avvenire solo (i) per scopi limitati e specifici, (ii) sulla base di un contratto (o altro regolamento all’interno di un gruppo aziendale) e (iii) solo se il contratto prevede lo stesso livello di protezione di quello garantito dai principi di riservatezza. Tutto questo, garantendo agli interessati la possibilità di opporsi (opt-out) o, nel caso di trattamento di dati sensibili, di consenso espresso anticipato al trasferimento (opt-in). Qualora sorgano problemi di conformità alle disposizioni nella catena di elaborazione dei dati, l’azienda, in qualità di titolare del trattamento dei dati personali, dovrà dimostrare di non essere responsabile del fatto che causa il danno e di aver fatto il possibile per evitarlo. Nell’utilizzo dei dati per finalità di marketing diretto sarà necessario consentire l’opt – out “in qualsiasi momento”.

MISURE DI SICUREZZA E PRINCIPI DI NECESSITA' E FINALITA'

I dati personali raccolti devono essere limitati a ciò che è rilevante ai fini del trattamento. E’ vietato per un’azienda trattare i dati personali in modo incompatibile con le finalità per cui sono stati originariamente raccolti e/o con il consenso della persona interessata. E’ necessario garantire l’accesso ai dati da parte dell’interessato, fornendo informazioni relative al trattamento, questo diritto può essere limitato solo in circostanze eccezionali. L’eventuale rifiuto o la limitazione al diritto di accesso devono essere necessari e debitamente motivati da parte dell’organizzazione che è tenuta a dimostrare che tali requisiti siano soddisfatti. Le persone interessate devono essere in grado di correggere, modificare o cancellare le informazioni personali imprecise o trattate in violazione dei principi sulla privacy.

VERIFICHE PERIODICHE E FORME DI TUTELA

In merito a ricorsi e responsabilità, le aziende partecipanti dovranno fornire meccanismi solidi per assicurare il rispetto dei principi sulla privacy e garantire il ricorso a rimedi efficaci in favore dei cittadini europei interessati, i cui dati personali sono stati trattati in modo non conforme. Per poter trattare i dati personali dei cittadini europei e continuare a far parte del Privacy Shield l’azienda interessata dovrà ogni anno ri-certificare la sua adesione al quadro normativo. Inoltre, le aziende saranno tenute ad adottare misure per verificare che le loro politiche sulla privacy rese pubbliche continuino ad essere conformi ai principi di riservatezza e siano di fatto rispettate. Ciò può concretizzarsi attraverso un sistema di auto-valutazione, che deve includere procedure interne che garantiscano che i dipendenti ricevano una formazione sull’attuazione delle politiche sulla privacy dell’azienda e attraverso opportune verifiche sul rispetto della normativa svolte periodicamente in modo obiettivo anche attraverso il ricorso a metodi che possono includere controlli a campione. Inoltre, l’azienda dovrà mettere in atto meccanismi di ricorso efficaci per gestire le denunce

IDENTIFICAZIONE DELLE AZIENDE AUTOCERTIFICATE

E’ necessario che le aziende aderenti al Privacy Shield siano identificate come tali dagli interessati, dagli esportatori di dati e dalle Autorità nazionali di protezione dei dati ( DPA ). A tal fine, il Dipartimento del Commercio sarà impegnato a mantenere e mettere a disposizione del pubblico sul proprio sito web l’ elenco delle aziende che hanno autocertificato la loro adesione ai principi sulla privacy, rientrando dunque nel Privacy Shield. Il Dipartimento del Commercio aggiornerà l’elenco sulla base delle osservazioni annuali di ri-certificazione.

Sarà necessario anche rendere pubbliche le aziende che verranno rimosse dalla lista, specificando il motivo di tale rimozione. Sui siti web delle aziende dovrà essere inserito un link alla lista. Inoltre, la privacy policy dell’azienda dovrà includere un collegamento ipertestuale al sito che contiene il testo del Privacy Shield, così come un collegamento ipertestuale al sito web del meccanismo di gestione alternativa delle controversie o direttamente al modulo di denuncia utile per presentare ricorsi davanti ai medesimi organismi. Le aziende rimosse dall’elenco dovranno eliminare e cancellare definitivamente i dati personali dei cittadini europei inviati in USA. Tuttavia, se l’azienda garantisce al Dipartimento del Commercio il suo impegno a continuare ad applicare i principi europei in materia di privacy o fornisce prove di un’adeguata protezione dei dati personali attraverso altri strumenti (ad esempio, utilizzando un contratto che riflette pienamente i requisiti delle clausole contrattuali tipo approvate dalla Commissione) potrà conservare e continuare a trattare tali dati . Qualsiasi falsa dichiarazione resa al pubblico in generale per quanto riguarda l’adesione di un’organizzazione ai principi di riservatezza o pratiche ingannevoli sarà perseguita. Il Dipartimento del Commercio monitorerà d’ufficio eventuali false dichiarazioni di partecipazione al Privacy Shield o l’uso improprio del marchio di certificazione Privacy Shield e si occuperà di verificare che un’azienda che abbia lasciato il Privacy Shield abbia anche cancellato tutti i riferimenti e i dati personali dei cittadini europei, salvo l’uso di altri strumenti previsti per il trasferimento.

RICORSI E RECLAMI

I cittadini europei interessati potranno rivendicare i propri diritti e perseguire i casi di non conformità ai principi europei sulla privacy attraverso contatti diretti con la aziende che partecipano al Privacy Shield. Per facilitare la risoluzione di eventuali controversie, l’azienda sarà tenuta a mettere in atto un meccanismo di ricorso efficace per trattare le denunce. A tal fine, la privacy policy di un’azienda dovrà informare chiaramente gli individui in relazione al contatto, sia interno che esterno all’azienda stessa, che gestirà i reclami (compresi tutti gli stabilimenti che hanno sede nell’Unione in grado di rispondere alle richieste di informazioni o reclami) e sarà tenuta a fornire informazioni anche in merito alle modalità di gestione dei reclami: le aziende dovranno risolvere i reclami entro 45 giorni.

Sarà possibile anche risolvere le questioni ricorrendo ai giudici nazionali o a strumenti di ADR. I cittadini europei potranno tutelare i diritti relativi ai propri dati personali anche davanti alle Autorità Garanti nazionali, che lavoreranno in collaborazione con la Federal Trade Commission, questo assicurerà una corretta valutazione e una risoluzione di quei reclami non risolti dalle aziende. Se un caso non verrà risolto attraverso gli altri strumenti messi a disposizione, come ultima risorsa, si ricorrerà all’arbitrato per garantire un efficace rimedio.

L’arbitrato avrà sede negli USA, ma i cittadini europei potranno parteciparvi mediante videoconferenza, strumento che deve essere fornito senza alcun costo per l’individuo. Il numero degli arbitri dovrà essere concordato tra le parti. Se non diversamente pattuito, la lingua utilizzata nell’arbitrato sarà l’inglese, ma dovrà essere garantita la presenza di un interprete durante l’udienza arbitrale senza alcun costo per l’interessato, che peraltro potrà essere assistito dalla propria Autorità Garante nazionale nel preparare la sua richiesta. Mentre ciascuna delle parti sarà tenuta a sopportare le proprie spese legali, se rappresentate da un avvocato.

Il Dipartimento del Commercio istituirà un fondo di dotazione con contributi annuali che le aziende partecipanti al Privacy Shield saranno tenute a versare per coprire i costi del procedimento arbitrale, con importi massimi stabiliti. Inoltre, le aziende potranno richiedere una consulenza alle autorità garanti europee. Gli interessati non potranno richiedere danni nella procedura di arbitrato, è fatto salvo, anche per eventuali richieste di risarcimento, il ricorso all’autorità giudiziaria. Le aziende dovranno comunque designare un organo indipendente per la risoluzione delle controversie (negli Stati Uniti o nell’Unione) per indagare e risolvere i reclami individuali (a meno che essi non siano manifestamente infondati), permettendo all’interessato di ricorrervi gratuitamente. Sanzioni e rimedi imposti da tale organismo devono essere sufficientemente rigorosi per garantire il rispetto da parte delle aziende dei principi sulla privacy e prevedere un’ inversione o correzione da parte dell’azienda degli effetti della non conformità e, a seconda delle circostanze, la cessazione dell’ulteriore trattamento dei dati personali in gioco e / o la loro cancellazione, così come rendere pubblici i risultati di non conformità.

L’organismo di risoluzione delle controversie indipendente designato da un’azienda sarà tenuto ad inserire sul proprio sito web le informazioni pertinenti relative al Privacy Shield e i servizi forniti in riferimento allo stesso. Ogni anno, dovrà essere pubblicata una relazione annuale che fornirà statistiche aggregate per quanto riguarda questi servizi.

GARANZIE E OBBLIGHI DI TRASPARENZA DA PARTE DEL GOVERNO STATUNITENSE

Per la prima volta, il governo degli Stati Uniti ha fornito assicurazioni scritte in favore dell’ UE presso l’Ufficio del Direttore della National Intelligence, garantendo che qualsiasi accesso da parte delle Autorità Pubbliche per scopi di sicurezza nazionale sarà soggetto ad chiare limitazioni, garanzie e meccanismi di controllo, impedendo l’accesso generalizzato ai dati personali. Il segretario di Stato americano John Kerry è impegnata a stabilire una possibilità di ricorso in materia di intelligence nazionale per gli Europei attraverso un meccanismo che prevede la figura di un difensore civico, soggetto indipendente dai servizi di sicurezza nazionale. Il difensore civico risponderà a richieste di informazioni e gestirà le denunce di follow-up formulate dai privati, informandoli sul rispetto concreto dell’accordo. Tra gli impegni scritti che saranno resi pubblici nel registro federale degli Stati Uniti, è previsto un meccanismo di monitoraggio, al fine di controllare il funzionamento del Privacy Shield, compreso il rispetto delle garanzie relativamente all’accesso ai dati da parte delle forze dell’ordine e della sicurezza nazionale. La Commissione europea e il Dipartimento statunitense del Commercio condurranno la revisione in accordo con gli esperti di intelligence nazionali associati alle autorità degli Stati Uniti e ai Garanti Europei per la Protezione dei Dati. La Commissione si baserà su tutte le fonti di informazione disponibili, comprese le relazioni di trasparenza redatte dalle imprese in merito alle richieste di accesso di governo. La Commissione terrà un vertice annuale sulla privacy con le ONG e le parti interessate relativamente agli sviluppi generali in materia di legge sulla privacy degli Stati Uniti e al loro impatto sui cittadini europei. Sulla base della revisione annuale, la Commissione pubblicherà una relazione pubblica al Parlamento europeo e al Consiglio.

I prossimi passi

Sarà consultato un comitato composto da rappresentanti degli Stati membri e dai Garanti Europei (WP articolo 29), il comitato fornirà il proprio parere sul testo, prima di una decisione definitiva da parte del collegio. Nel frattempo, gli Stati Uniti stanno preparando i meccanismi di monitoraggio, apprestando il meccanismo del difensore civico per mettere in atto il nuovo quadro.
In seguito all’adozione della legge sul risarcimento nei casi di violazione dei diritti sui dati personali da parte del Congresso degli Stati Uniti, firmata dal Presidente Obama il 24 febbraio, la Commissione proporrà entro breve la firma del Privacy Shield. La decisione di conclusione dell’accordo dovrebbe essere adottata dal Consiglio dopo aver ottenuto il consenso del Parlamento Europeo.

 

Annalisa Spedicato – Avvocato Esperto in IP ICT e Privacy

Autore Annalisa Spedicato

Avvocato Esperto in IP ICT e Privacy