Italiano

Privacy Shield ossia come i nostri dati vengono protetti all’estero.

Ad un anno dal suo lancio, avvenuto nell’estate del 2016, lo scudo UE-USA per la privacy si trova all’analisi degli esperti per vedere cosa è andato e cosa può essere migliorato per il futuro affinché i trasferimenti internazionali di dati siano ancora più sicuri per le imprese certificate, le imprese, le PMI europee e tutti i consumatori UE. Il primo esame annuale ha dimostrato così l’impegno della Commissione responsabile per il Mercato unico digitale nel creare un regime di certificazione solido, munito di un’attività di sorveglianza dinamica. Lo scudo funziona, ma la sua attuazione, secondo l’esecutivo europeo, ha ampi margini di miglioramento. Proprio per questo, già al varo dello scudo nel 2016, la Commissione si era proposta di effettuare controlli a cadenza annuale per valutare se il livello di protezione dei dati personali fosse adeguato al mutamento dei tempi. Tale relazione ha coinvolto i pareri sia di tutte le pertinenti autorità statunitensi e di un’ ampia gamma di parti interessate (aziende e Ong) sia delle autorità indipendenti di protezione dei dati degli Stati membri dell’Ue. Vĕra Jourová, commissaria per la Giustizia, i consumatori e la parità di genere, si è così riferita al trattato: “I trasferimenti transatlantici di dati sono vitali per la nostra economia, ma è necessario proteggere il diritto fondamentale alla protezione dei dati personali anche in uscita dall'Ue. […] Lo scudo per la privacy non è un documento che giace in fondo a un cassetto, si tratta di un accordo vivo che l'Ue e gli Usa devono monitorare attivamente per garantire la salvaguardia dei nostri elevati standard di protezione dei dati”.

Il rapporto fra privacy e trattamento dei dati personali è sempre stato uno fra i temi più complessi nell'ambito del cloud computing. Ma precisamente cos’è quel “Privacy Shield” adottato dalla Commissione europea il 12 luglio 2016? Il nuovo accordo nasce dopo che il “Safe Harbour”, risalente al 2000, è stato dichiarato invalido dalla Corte di Giustizia dell’unione europea poiché non proteggeva sufficientemente i cittadini europei, tra le altre cose perché la legge americana consentiva alle autorità di quel paese di accedere ai nostri dati liberamente. Il nuovo scudo sulla privacy, introdotto dopo serrate trattative tra Stati Uniti e Commissione europea, si occupa quindi della migrazione dei dati personali da un continente all’altro in modo notevolmente più sicuro rispetto al precedente meccanismo, in particolare modo perché, per la prima volta, contiene le prime assunzioni di impegno da parte dell’Amministrazione statunitense circa il loro accesso ai dati. Quest’ultima ha assicurato che gli accessi saranno sottoposti a meccanismi di controllo, con appositi limiti e garanzie e che la raccolta di dati in blocco sarà prevista soltanto in casi particolari. Non saranno, quindi, più ammessi accessi indiscriminati e massivi, come poteva, invece, verificarsi in precedenza (vedi ad esempio le rivelazioni sulle attività di controllo svolte dai servizi di intelligence statunitensi, in particolare dalla National Security Agency, nell'ambito del cd. Datagate).

Sono stati introdotti, inoltre, ulteriori controlli, effettuati dal DoC (Dipartimento del Commercio degli Stati Uniti) in collaborazione con esperti dei servizi di sicurezza americani e delle Autorità europee per la protezione dei dati, che possono comportare anche il depennamento dall'elenco delle compagnie aderenti, nel caso peggiore. Come già accennato è stata anche introdotta una fase di monitoraggio con relative relazioni finali a cadenza annuale, da parte della Commissione europea, che verranno discusse davanti al Parlamento ed al Consiglio. Importanti sono, poi, gli strumenti introdotti a tutela del soggetto che ritenga leso il proprio diritto individuale: i cittadini possono ora rivolgersi direttamente all'impresa, che dovrà rispondere ai reclami entro quarantacinque giorni. Si può, inoltre, adire un organo alternativo di composizione delle controversie (ADR), attivando una procedura completamente gratuita, oppure rivolgersi all'Autorità di protezione dati che esaminerà il reclamo insieme al Department of Commerce e alla Federal Trade Commission degli USA. Ad ogni modo, rimane sempre in essere la possibilità di ricorrere alle singole Autorità nazionali di protezione dei dati. Si potrà, inoltre, sempre rivolgersi al “Privacy Shield Panel” nel caso in cui l’intervento della Commissione federale del Commercio non riuscisse ad essere risolutivo, per attivare una procedura di arbitrato o, in casi più particolari, una procedura di mediazione.

Fra ottimismo ed aspettative, la prima relazione annuale sul nuovo scudo per la privacy, effettuato essenzialmente verificando i meccanismi e le procedure introdotte, viene quindi promossa, come già detto, con qualche margine di miglioramento futuro. Soddisfacente è stata, inoltre, l’accoglienza da parte delle imprese, con oltre 2.400 compagnie che si sono registrate. La relazione finale ha presentato però anche delle raccomandazioni future intese a garantire che lo scudo per la privacy continui a funzionare correttamente, tra queste principalmente si è consigliato un monitoraggio più proattivo e regolare da parte del Dipartimento del Commercio degli Stati Uniti per verificare che le imprese rispettino gli obblighi imposti dallo scudo per la privacy; una maggiore sensibilizzazione delle persone nell’Ue circa le varie modalità possibili con cui esercitare i loro diritti, specialmente sui modi per sporgere eventuali reclami; si consiglia, inoltre, una collaborazione più stretta fra i responsabili della privacy, ossia il Dipartimento del Commercio degli USA, la Commissione federale del Commercio e le autorità di protezione dei dati dell’Ue, in particolare per quanto riguarda l’elaborazione di orientamenti destinati alle imprese e ai responsabili della privacy; sarebbe importante, infine, poter istituire il prima possibile il ruolo di “mediatore dello scudo” permanente e garantire inoltre la copertura dei posti vacanti presso l’Autorità per la tutela della vita privata e delle libertà civili (PCLOB). Nel complesso, comunque, come si può leggere nella nota della Commissione Ue, lo scudo per la privacy “continua a garantire un adeguato livello di protezione dei dati personali trasferiti dall’Ue alle imprese partecipanti negli Usa”.

Notaio Camillo Verde

Privacy Shield ossia come i nostri dati vengono protetti all'estero - Notaio Camillo Verde