Trasferimento dati in USA. Adottato il Privacy Schield

regolamento privacy 2016

Adottato in Commissione Europea il Privacy Shield, l’accordo che, in sostituzione del Safe Harbour, dovrà proteggere i dati personali dei cittadini europei nel trasferimento di dati negli USA.

L’accordo USA-UE sulla privacy si presenta come un vigoroso sistema per la tutela dei dati personali, riducendo l’incertezza che le imprese che trasferiscono dati in Usa sinora hanno dovuto sostenere.

I capisaldi deI Privacy Schield sono tre sostanzialmente:

  1. elevati standard di protezione;
  1. garanzie di non ingerenza e accessi ai dati da parte del governo americano;
  1. procedure di risarcimento semplificate per le persone i cui diritti sui dati vengono violati.

Il Privacy Shield impone seri obblighi alle aziende che trattano dati di cittadini europei, trasferendoli negli Stati Uniti. A controllare il rispetto delle regole da parte delle aziende americane sarà il dipartimento statunitense del commercio. Le aziende che risulteranno non conformi, risponderanno di gravi sanzioni (si ricorda che in base al nuovo regolamento europeo esse possono arrivare anche fino al 4% del fatturato).

Nella versione definitiva dell’accordo, rispetto alla versione precedente, si leggono maggiori garanzie da parte del governo americano in materia di accesso ai dati da parte di autorità pubbliche, forze dell’ordine e sicurezza nazionale, un accesso soggetto a chiari limiti, garanzie e meccanismi di controllo. Il governo americano ha escluso la sorveglianza indiscriminata di massa sui dati personali trasferiti negli Stati Uniti sotto il controllo dell’ UE.

L’Ufficio del direttore della National Intelligence ha ulteriormente chiarito che il trattamento di massa dei dati potrebbe essere impiegato esclusivamente in condizioni eccezionali e specifiche e sarà più mirato e concentrato possibile.

Il Segretario di Stato americano ha inoltre chiarito il ruolo del difensore civico, garantendo che tale figura potrà contare su organismi di controllo indipendenti con poteri di indagine.

Ogni cittadino che ritiene che i propri dati siano stati usati impropriamente sotto il Privacy Shield può ricorrere a diversi meccanismi di risoluzione delle controversie accessibili e convenienti. Idealmente, la denuncia sarà risolta dalla società stessa, ma saranno anche messi a disposizione strumenti di risoluzione alternativa delle controversie (ADR). Resta salva la possibilità di rivolgersi all’autorità nazionale per la protezione dei dati, che lavorerà con la Federal Trade Commission per assicurare che le denunce dei cittadini dell’Unione siano indagate e risolte. Se un caso non viene risolto, come ultima risorsa è previsto un meccanismo di arbitrato. I ricorsi in materia di sicurezza nazionale per i cittadini dell’UE saranno gestiti da un difensore civico indipendente dai servizi di intelligence degli Stati Uniti.
Il funzionamento del Privacy Shield sarà costantemente monitorato mediante un meccanismo di revisione annuale congiunta, saranno monitorati anche gli impegni e le garanzie assunte dal governo americano per quanto riguarda l’accesso ai dati da parte delle forze dell’ordine e della sicurezza nazionale. La Commissione europea e il Dipartimento statunitense del Commercio condurranno la revisione insieme agli esperti di intelligence nazionali e ai Garanti europei per la protezione dei dati. La Commissione si baserà su tutte le altre fonti di informazioni disponibili e presenterà una relazione pubblica al Parlamento europeo e al Consiglio.

Il documento definitivo è stato dunque approvato, la Commissione sta attualmente elaborando una guida per i cittadini che chiarirà i rimedi disponibili nei casi di violazione dei dati personali sotto l’egida del Privacy Shield.

Un’azienda europea che intenda trasferire dati personali verso qualsiasi altra azienda che ha sede negli Stati Uniti sarà in grado di svolgere tale trasferimento legalmente se è certificata sotto il Privacy Shield.

Tuttavia, le imprese devono essere consapevoli che per completare il processo di certificazione occorre pazientare ancora. Anche perché, pare che molte autorità nazionali hanno intenzione di adire la CGUE per appurare la validità e lo status giuridico di tale accordo, al fine di comprendere se effettivamente esso garantisce la protezione auspicata ai dati dei cittadini europei e se l’ingerenza del governo americano su tali dati sarà effettivamente minima ed eccezionale, in base a quanto garantito.

Annalisa Spedicato – Avvocato Esperto in IP ICT e Privacy

RICHIEDI CONSULENZA

Autore Annalisa Spedicato

Avvocato Esperto in IP ICT e Privacy