Pubblicati i testi del Privacy Shield per il trasferimento dei dati personali in USA. Come fare per adeguarsi?

Il nuovo accordo individua meccanismi di controllo trasparenti ed efficaci per garantire il rispetto delle regole, escludendo dall’accordo stesso e sanzionando le aziende che non rispettano le norme.

Le aziende che hanno interesse a trasferire dati verso gli USA saranno tenute a rispettare l’obbligo di rendere l’informativa e dunque fornire agli interessati una serie d’informazioni relative al trattamento dei dati personali (ad esempio, il tipo di dati gestiti, le finalità del trattamento, i diritti di accesso, le condizioni per i trasferimenti successivi verso altri partner e le responsabilità).

Le aziende partecipanti hanno l’bbligo di redigere adeguate policy sulla privacy e renderle pubbliche e di fornire collegamenti al sito web del Dipartimento del Commercio statunitense (con ulteriori dettagli sulla autocertificazione, i diritti degli interessati e i meccanismi di ricorso disponibili) e al sito di un fornitore di servizi di risoluzione alternativa delle controversie.

Nei trasferimenti successivi verso altri partner o nell’utilizzo dei dati per finalità diverse da quelle di raccolta occorre prevedere la possibilità di negare il consenso (opt-out) per gli interessati che intendono opporsi. Qualsiasi trasferimento successivo di dati personali da parte di responsabili o incaricati di un’azienda può avvenire solo (i) per scopi limitati e specifici, (ii) sulla base di un contratto (o altro regolamento all’interno di un gruppo aziendale) e (iii) solo se il contratto prevede lo stesso livello di protezione di quello garantito dai principi di riservatezza. Tutto questo, garantendo agli interessati la possibilità di opporsi (opt-out) o, nel caso di trattamento di dati sensibili, di consenso espresso anticipato al trasferimento (opt-in). Qualora sorgano problemi di conformità alle disposizioni nella catena di elaborazione dei dati, l’azienda, in qualità di titolare del trattamento dei dati personali, dovrà dimostrare di non essere responsabile del fatto che causa il danno e di aver fatto il possibile per evitarlo. Nell’utilizzo dei dati per finalità di marketing diretto sarà necessario consentire l’opt – out “in qualsiasi momento”.

I dati personali raccolti devono essere limitati a ciò che è rilevante ai fini del trattamento. E’ vietato per un’azienda trattare i dati personali in modo incompatibile con le finalità per cui sono stati originariamente raccolti e/o con il consenso della persona interessata. E’ necessario garantire l’accesso ai dati da parte dell’interessato, fornendo informazioni relative al trattamento, questo diritto può essere limitato solo in circostanze eccezionali. L’eventuale rifiuto o la limitazione al diritto di accesso devono essere necessari e debitamente motivati da parte dell’organizzazione che è tenuta a dimostrare che tali requisiti siano soddisfatti. Le persone interessate devono essere in grado di correggere, modificare o cancellare le informazioni personali imprecise o trattate in violazione dei principi sulla privacy.

In merito a ricorsi e responsabilità, le aziende partecipanti dovranno fornire meccanismi solidi per assicurare il rispetto dei principi sulla privacy e garantire il ricorso a rimedi efficaci in favore dei cittadini europei interessati, i cui dati personali sono stati trattati in modo non conforme. Per poter trattare i dati personali dei cittadini europei e continuare a far parte del Privacy Shield l’azienda interessata dovrà ogni anno ri-certificare la sua adesione al quadro normativo. Inoltre, le aziende saranno tenute ad adottare misure per verificare che le loro politiche sulla privacy rese pubbliche continuino ad essere conformi ai principi di riservatezza e siano di fatto rispettate. Ciò può concretizzarsi attraverso un sistema di auto-valutazione, che deve includere procedure interne che garantiscano che i dipendenti ricevano una formazione sull’attuazione delle politiche sulla privacy dell’azienda e attraverso opportune verifiche sul rispetto della normativa svolte periodicamente in modo obiettivo anche attraverso il ricorso a metodi che possono includere controlli a campione. Inoltre, l’azienda dovrà mettere in atto meccanismi di ricorso efficaci per gestire le denunce

E’ necessario che le aziende aderenti al Privacy Shield siano identificate come tali dagli interessati, dagli esportatori di dati e dalle Autorità nazionali di protezione dei dati ( DPA ). A tal fine, il Dipartimento del Commercio sarà impegnato a mantenere e mettere a disposizione del pubblico sul proprio sito web l’ elenco delle aziende che hanno autocertificato la loro adesione ai principi sulla privacy, rientrando dunque nel Privacy Shield. Il Dipartimento del Commercio aggiornerà l’elenco sulla base delle osservazioni annuali di ri-certificazione.

Sarà necessario anche rendere pubbliche le aziende che verranno rimosse dalla lista, specificando il motivo di tale rimozione. Sui siti web delle aziende dovrà essere inserito un link alla lista. Inoltre, la privacy policy dell’azienda dovrà includere un collegamento ipertestuale al sito che contiene il testo del Privacy Shield, così come un collegamento ipertestuale al sito web del meccanismo di gestione alternativa delle controversie o direttamente al modulo di denuncia utile per presentare ricorsi davanti ai medesimi organismi. Le aziende rimosse dall’elenco dovranno eliminare e cancellare definitivamente i dati personali dei cittadini europei inviati in USA. Tuttavia, se l’azienda garantisce al Dipartimento del Commercio il suo impegno a continuare ad applicare i principi europei in materia di privacy o fornisce prove di un’adeguata protezione dei dati personali attraverso altri strumenti (ad esempio, utilizzando un contratto che riflette pienamente i requisiti delle clausole contrattuali tipo approvate dalla Commissione) potrà conservare e continuare a trattare tali dati . Qualsiasi falsa dichiarazione resa al pubblico in generale per quanto riguarda l’adesione di un’organizzazione ai principi di riservatezza o pratiche ingannevoli sarà perseguita. Il Dipartimento del Commercio monitorerà d’ufficio eventuali false dichiarazioni di partecipazione al Privacy Shield o l’uso improprio del marchio di certificazione Privacy Shield e si occuperà di verificare che un’azienda che abbia lasciato il Privacy Shield abbia anche cancellato tutti i riferimenti e i dati personali dei cittadini europei, salvo l’uso di altri strumenti previsti per il trasferimento.

I cittadini europei interessati potranno rivendicare i propri diritti e perseguire i casi di non conformità ai principi europei sulla privacy attraverso contatti diretti con la aziende che partecipano al Privacy Shield. Per facilitare la risoluzione di eventuali controversie, l’azienda sarà tenuta a mettere in atto un meccanismo di ricorso efficace per trattare le denunce. A tal fine, la privacy policy di un’azienda dovrà informare chiaramente gli individui in relazione al contatto, sia interno che esterno all’azienda stessa, che gestirà i reclami (compresi tutti gli stabilimenti che hanno sede nell’Unione in grado di rispondere alle richieste di informazioni o reclami) e sarà tenuta a fornire informazioni anche in merito alle modalità di gestione dei reclami: le aziende dovranno risolvere i reclami entro 45 giorni.

Sarà possibile anche risolvere le questioni ricorrendo ai giudici nazionali o a strumenti di ADR. I cittadini europei potranno tutelare i diritti relativi ai propri dati personali anche davanti alle Autorità Garanti nazionali, che lavoreranno in collaborazione con la Federal Trade Commission, questo assicurerà una corretta valutazione e una risoluzione di quei reclami non risolti dalle aziende. Se un caso non verrà risolto attraverso gli altri strumenti messi a disposizione, come ultima risorsa, si ricorrerà all’arbitrato per garantire un efficace rimedio.

L’arbitrato avrà sede negli USA, ma i cittadini europei potranno parteciparvi mediante videoconferenza, strumento che deve essere fornito senza alcun costo per l’individuo. Il numero degli arbitri dovrà essere concordato tra le parti. Se non diversamente pattuito, la lingua utilizzata nell’arbitrato sarà l’inglese, ma dovrà essere garantita la presenza di un interprete durante l’udienza arbitrale senza alcun costo per l’interessato, che peraltro potrà essere assistito dalla propria Autorità Garante nazionale nel preparare la sua richiesta. Mentre ciascuna delle parti sarà tenuta a sopportare le proprie spese legali, se rappresentate da un avvocato.

Il Dipartimento del Commercio istituirà un fondo di dotazione con contributi annuali che le aziende partecipanti al Privacy Shield saranno tenute a versare per coprire i costi del procedimento arbitrale, con importi massimi stabiliti. Inoltre, le aziende potranno richiedere una consulenza alle autorità garanti europee. Gli interessati non potranno richiedere danni nella procedura di arbitrato, è fatto salvo, anche per eventuali richieste di risarcimento, il ricorso all’autorità giudiziaria. Le aziende dovranno comunque designare un organo indipendente per la risoluzione delle controversie (negli Stati Uniti o nell’Unione) per indagare e risolvere i reclami individuali (a meno che essi non siano manifestamente infondati), permettendo all’interessato di ricorrervi gratuitamente. Sanzioni e rimedi imposti da tale organismo devono essere sufficientemente rigorosi per garantire il rispetto da parte delle aziende dei principi sulla privacy e prevedere un’ inversione o correzione da parte dell’azienda degli effetti della non conformità e, a seconda delle circostanze, la cessazione dell’ulteriore trattamento dei dati personali in gioco e / o la loro cancellazione, così come rendere pubblici i risultati di non conformità.

L’organismo di risoluzione delle controversie indipendente designato da un’azienda sarà tenuto ad inserire sul proprio sito web le informazioni pertinenti relative al Privacy Shield e i servizi forniti in riferimento allo stesso. Ogni anno, dovrà essere pubblicata una relazione annuale che fornirà statistiche aggregate per quanto riguarda questi servizi.

Per la prima volta, il governo degli Stati Uniti ha fornito assicurazioni scritte in favore dell’ UE presso l’Ufficio del Direttore della National Intelligence, garantendo che qualsiasi accesso da parte delle Autorità Pubbliche per scopi di sicurezza nazionale sarà soggetto ad chiare limitazioni, garanzie e meccanismi di controllo, impedendo l’accesso generalizzato ai dati personali. Il segretario di Stato americano John Kerry è impegnata a stabilire una possibilità di ricorso in materia di intelligence nazionale per gli Europei attraverso un meccanismo che prevede la figura di un difensore civico, soggetto indipendente dai servizi di sicurezza nazionale. Il difensore civico risponderà a richieste di informazioni e gestirà le denunce di follow-up formulate dai privati, informandoli sul rispetto concreto dell’accordo. Tra gli impegni scritti che saranno resi pubblici nel registro federale degli Stati Uniti, è previsto un meccanismo di monitoraggio, al fine di controllare il funzionamento del Privacy Shield, compreso il rispetto delle garanzie relativamente all’accesso ai dati da parte delle forze dell’ordine e della sicurezza nazionale. La Commissione europea e il Dipartimento statunitense del Commercio condurranno la revisione in accordo con gli esperti di intelligence nazionali associati alle autorità degli Stati Uniti e ai Garanti Europei per la Protezione dei Dati. La Commissione si baserà su tutte le fonti di informazione disponibili, comprese le relazioni di trasparenza redatte dalle imprese in merito alle richieste di accesso di governo. La Commissione terrà un vertice annuale sulla privacy con le ONG e le parti interessate relativamente agli sviluppi generali in materia di legge sulla privacy degli Stati Uniti e al loro impatto sui cittadini europei. Sulla base della revisione annuale, la Commissione pubblicherà una relazione pubblica al Parlamento europeo e al Consiglio.