
La Commissione Europea ha diffuso i testi riguardanti il Privacy Shield, rendendo pubblico il relativo progetto di Decisione di Adeguatezza che andrà a sostituire il Safe Harbour, in riferimento ai trasferimenti di dati personali dall’Europa verso gli Stati Uniti.
Il testo descrive le norme che le aziende devono rispettare, nei casi di trasferimento dei dati personali di cittadini europei verso gli USA e gli impegni del governo statunitense (che saranno pubblicati nel Registro Federale) al rispetto dei principi della normativa privacy europea e della disposizione qui ad oggetto, comprese garanzie scritte relative ai limiti di accesso ai dati da parte delle autorità pubbliche americane per motivi di sicurezza.
Il presidente Obama ha sottoscritto il Judicial Redress Act con cui garantisce ai cittadini europei il diritto di essere risarciti dalle violazioni sui dati personali davanti alle corti degli Stati Uniti.
Lo schema di decisione di adeguatezza denominato Privacy Shield, secondo il testo pubblicato, dunque prevede pesanti obblighi in capo alle aziende:
MECCANISMI DI CONTROLLO
OBBLIGO DI RENDERE L'INFORMATIVA
POLICY PER LA PRIVACY ADEGUATE
TRASFERIMENTI DI DATI VERSO ALTRI PARTNER
MISURE DI SICUREZZA E PRINCIPI DI NECESSITA' E FINALITA'
VERIFICHE PERIODICHE E FORME DI TUTELA
IDENTIFICAZIONE DELLE AZIENDE AUTOCERTIFICATE
Sarà necessario anche rendere pubbliche le aziende che verranno rimosse dalla lista, specificando il motivo di tale rimozione. Sui siti web delle aziende dovrà essere inserito un link alla lista. Inoltre, la privacy policy dell’azienda dovrà includere un collegamento ipertestuale al sito che contiene il testo del Privacy Shield, così come un collegamento ipertestuale al sito web del meccanismo di gestione alternativa delle controversie o direttamente al modulo di denuncia utile per presentare ricorsi davanti ai medesimi organismi. Le aziende rimosse dall’elenco dovranno eliminare e cancellare definitivamente i dati personali dei cittadini europei inviati in USA. Tuttavia, se l’azienda garantisce al Dipartimento del Commercio il suo impegno a continuare ad applicare i principi europei in materia di privacy o fornisce prove di un’adeguata protezione dei dati personali attraverso altri strumenti (ad esempio, utilizzando un contratto che riflette pienamente i requisiti delle clausole contrattuali tipo approvate dalla Commissione) potrà conservare e continuare a trattare tali dati . Qualsiasi falsa dichiarazione resa al pubblico in generale per quanto riguarda l’adesione di un’organizzazione ai principi di riservatezza o pratiche ingannevoli sarà perseguita. Il Dipartimento del Commercio monitorerà d’ufficio eventuali false dichiarazioni di partecipazione al Privacy Shield o l’uso improprio del marchio di certificazione Privacy Shield e si occuperà di verificare che un’azienda che abbia lasciato il Privacy Shield abbia anche cancellato tutti i riferimenti e i dati personali dei cittadini europei, salvo l’uso di altri strumenti previsti per il trasferimento.
RICORSI E RECLAMI
Sarà possibile anche risolvere le questioni ricorrendo ai giudici nazionali o a strumenti di ADR. I cittadini europei potranno tutelare i diritti relativi ai propri dati personali anche davanti alle Autorità Garanti nazionali, che lavoreranno in collaborazione con la Federal Trade Commission, questo assicurerà una corretta valutazione e una risoluzione di quei reclami non risolti dalle aziende. Se un caso non verrà risolto attraverso gli altri strumenti messi a disposizione, come ultima risorsa, si ricorrerà all’arbitrato per garantire un efficace rimedio.
L’arbitrato avrà sede negli USA, ma i cittadini europei potranno parteciparvi mediante videoconferenza, strumento che deve essere fornito senza alcun costo per l’individuo. Il numero degli arbitri dovrà essere concordato tra le parti. Se non diversamente pattuito, la lingua utilizzata nell’arbitrato sarà l’inglese, ma dovrà essere garantita la presenza di un interprete durante l’udienza arbitrale senza alcun costo per l’interessato, che peraltro potrà essere assistito dalla propria Autorità Garante nazionale nel preparare la sua richiesta. Mentre ciascuna delle parti sarà tenuta a sopportare le proprie spese legali, se rappresentate da un avvocato.
Il Dipartimento del Commercio istituirà un fondo di dotazione con contributi annuali che le aziende partecipanti al Privacy Shield saranno tenute a versare per coprire i costi del procedimento arbitrale, con importi massimi stabiliti. Inoltre, le aziende potranno richiedere una consulenza alle autorità garanti europee. Gli interessati non potranno richiedere danni nella procedura di arbitrato, è fatto salvo, anche per eventuali richieste di risarcimento, il ricorso all’autorità giudiziaria. Le aziende dovranno comunque designare un organo indipendente per la risoluzione delle controversie (negli Stati Uniti o nell’Unione) per indagare e risolvere i reclami individuali (a meno che essi non siano manifestamente infondati), permettendo all’interessato di ricorrervi gratuitamente. Sanzioni e rimedi imposti da tale organismo devono essere sufficientemente rigorosi per garantire il rispetto da parte delle aziende dei principi sulla privacy e prevedere un’ inversione o correzione da parte dell’azienda degli effetti della non conformità e, a seconda delle circostanze, la cessazione dell’ulteriore trattamento dei dati personali in gioco e / o la loro cancellazione, così come rendere pubblici i risultati di non conformità.
L’organismo di risoluzione delle controversie indipendente designato da un’azienda sarà tenuto ad inserire sul proprio sito web le informazioni pertinenti relative al Privacy Shield e i servizi forniti in riferimento allo stesso. Ogni anno, dovrà essere pubblicata una relazione annuale che fornirà statistiche aggregate per quanto riguarda questi servizi.
GARANZIE E OBBLIGHI DI TRASPARENZA DA PARTE DEL GOVERNO STATUNITENSE
I prossimi passi
Sarà consultato un comitato composto da rappresentanti degli Stati membri e dai Garanti Europei (WP articolo 29), il comitato fornirà il proprio parere sul testo, prima di una decisione definitiva da parte del collegio. Nel frattempo, gli Stati Uniti stanno preparando i meccanismi di monitoraggio, apprestando il meccanismo del difensore civico per mettere in atto il nuovo quadro.
In seguito all’adozione della legge sul risarcimento nei casi di violazione dei diritti sui dati personali da parte del Congresso degli Stati Uniti, firmata dal Presidente Obama il 24 febbraio, la Commissione proporrà entro breve la firma del Privacy Shield. La decisione di conclusione dell’accordo dovrebbe essere adottata dal Consiglio dopo aver ottenuto il consenso del Parlamento Europeo.
Annalisa Spedicato – Avvocato Esperto in IP ICT e Privacy