Tratto dallo speciale:

Luci e ombre del Privacy Shield

di Redazione PMI.it

scritto il

Garanti Privacy prudenti sul Privacy Shield: nel dopo Safe Harbor, per le aziende è meglio ricorrere alle Binding Rules finché non cadranno i veli sul nuovo accordo.

Unione Europea e Stati Uniti sono riusciti a trovare nuovi punti di contatto per risolvere un problema strutturale dell’economia mondiale e del mercato: il corretto trattamento dei dati personali. Saltato l’accordo Safe Harbor, in questi mesi le aziende hanno proseguito il loro business ricorrendo alle Binding Corporate Rules e alle Model Contract Clauses, seguendo anche le indicazioni della Autorità Garanti.

=> Sentenza UE sul Safe Harbor

Safe Harbor

Con sentenza 6 ottobre 2015, la Corte di Giustizia Europea ha invalidato l’accordo Safe Harbor, che presupponeva gli Stati Uniti “un porto sicuro” per il corretto trattamento dei dati. Per la Corte, infatti, la Commissione non poteva vincolare gli Stati Membri a un tale tipo di accordo, tanto più che – a seguito delle vicende legate al caso Snowden e Schrems – è emerso in modo evidente come la politica di tutela della privacy in territorio americano da una parte, e la sistematica azione di controllo di massa del governo statunitense dall’altra, non possono garantire il rispetto della normativa UE in materia di trattamento dei dati personali.

=> Privacy Shield è il nuovo Safe Harbor

Privacy Shield

A seguito del nuovo accordo, il Commissario europeo Jourova e il vicepresidente della Commissione Europea Ansip si sono dichiarati molto soddisfatti:

“Le nostre imprese, soprattutto quelle più piccole, avranno la certezza del diritto di cui hanno bisogno per sviluppare le loro attività attraverso l’Atlantico….[n.d.r. questo accordo] ci aiuta a costruire un mercato unico del digitale in Europa, un ambiente online affidabile e dinamico”, ha affermato Jourova.

Ansip ha anticipato invece che gli Stati Uniti si sono impegnati affinché:

“l’accesso da parte delle autorità pubbliche per motivi di sicurezza saranno soggette a chiari limiti, garanzie e meccanismi di controllo”.

Quel che si sa del nuovo accordo, infatti, è che riguarderà obblighi sul trattamento dati, meno sorveglianza di massa, diritto al ricorso e difensore civico.

  • Le aziende statunitensi che importano dati personali dall’Europa dovranno rispettare obblighi più stringenti sul loro trattamento e direttive delle Autorità Garanti Europee. Il Dipartimento del Commercio USA vigilerà che tali aziende rendano pubblici gli impegni presi, la Federal Trade Commission (FTC) agirà affinché gli impegni siano rispettati ai sensi del diritto statunitense.
  • L’accesso ai dati da parte di Autorità Pubbliche e Forze dell’Ordine giustificate da ragioni di sicurezza nazionale sarà soggetto a limitazioni, garanzie e meccanismi di controllo. Tali azioni invasive saranno ammesse solo se necessarie e in misura proporzionata. Vietata la sorveglianza di massa indiscriminata. Al fine di monitorare regolarmente gli impegni, sarà attuata una revisione annuale congiunta tra UE-USA.
  • E’ prevista una protezione più efficace dei diritti dei cittadini UE, prevedendo diverse possibilità di ricorso. Le Autorità Garanti potranno presentare casi al Dipartimento del Commercio e FTC. Per i reclami nei casi di accesso da parte delle autorità di intelligence nazionali, verrà creato un nuovo difensore civico.

Ora dalla teoria e dal mero “impegno” occorrerà passare ai fatti e farlo in tempi ragionevolmente brevi.

L’ottimismo è comprensibile ma ci sono ancora molte ombre che incombono. In primo luogo, è da sottolineare come le Autorità Garanti per il trattamento dei dati personali (riuniti nel Gruppo di Lavoro Articolo 29, che a suo tempo aveva espresso posizioni ferme in merito alle soluzioni cui ricorrere per uscire dallo stallo normativo e commerciale conseguente la dichiarazione di illegittimità del Safe Harbor), non abbiano ancora espresso un giudizio definitivo. Il Gruppo ha sottolineato la necessità di conoscere e approfondire, quanto prima, maggiori dettagli in merito all’accordo, in particolare sulle modalità con cui gli Stati Uniti si sono impegnati al rispetto dei principi del Privacy Shield.

=> Protezione dati personali nel post Safe Harbor

Dunque, attualmente è ancora valida la scelta per le aziende di ricorrere alle Binding Corporate Rules. Questo punto è particolarmente critico perché l’accordo non sembra affrontare il problema che neanche il Safe Harbor risolveva e cioè l’applicabilità concorrente tra le BCR ed, ora, il Privacy Shield. Alternativa ancora non passata al vaglio della Corte di Giustizia e che lascerebbe spazio alla possibilità di nuovi ricorsi.

In secondo luogo va considerato che gli strumenti e le novità annunciate implicheranno molteplici passaggi, sia legislativi sia di organizzazione strutturale (per esempio in riferimento al sistema dei ricorsi al difensore civico) che non sono, evidentemente di immediata approvazione ed applicazione.

_______

Avv. Emiliano Vitelli

I Video di PMI

GDPR: Guida al nuovo Regolamento Privacy