Il “Privacy Shield Ue-Usa” su cui Unione europea e Stati Uniti hanno raggiunto un accordo a febbraio 2016 è un importante traguardo raggiunto in ottica di difesa della privacy dei cittadini dell’Ue e per le aziende su entrambi i lati dell’Atlantico. Lo Shield obbligherà le aziende statunitensi che vogliono continuare a ricevere dati personali dall’Ue a rispettare robuste disposizioni a salvaguardia della privacy modellate sulla legge dell’Ue sulla protezione dei dati. In più, lo Shield definisce, per la prima volta, i limiti e le protezioni per l’accesso da parte delle autorità pubbliche statunitensi ai dati personali degli europei.
Il nuovo “Privacy Shield Ue-Usa” sostituisce l’accordo “Safe Harbour” del 2000 invalidato dalla Corte di Giustizia Europea. Il nuovo Privacy Shield è diverso dai precedenti accordi perché prevede un monitoraggio più stretto e diverse possibilità di ricorso per assicurare che le aziende rispettino le norme.
Il nuovo Privacy Shield permetterà un trasferimento dei dati facile e più trasparente dall’Ue agli Usa. Con le garanzie, in pratica, di un sufficiente livello di data protection come richiesto dalla legge dell’Ue, l’obiettivo è di ripristinare la fiducia nei flussi di dati transatlantici. Promuovendo una maggiore fiducia negli scambi di dati commerciali, si produrranno benefici per il commercio di servizi digitali tra le due sponde dell’Atlantico. Questo è essenziale alla crescita della digital economy.
Il governo americano ha fornito garanzie scritte che la Federal Trade Commission coopererà da vicino con le Autorità europee per la protezione dei dati. Il governo Usa ci ha assicurato anche che non ci sarà alcuna sorveglianza indiscriminata o di massa da parte delle autorità nazionali di sicurezza.
A sostegno delle garanzie fornite dal governo Usa che tale accesso sarà limitato a ciò che è necessario e proporzionato, le aziende potranno segnalare un numero approssimativo di richieste di accesso ricevute dal governo. Inoltre, il Dipartimento del Commercio americano ha acconsentito a rafforzare il suo impegno a monitorare e applicare il Privacy Shield. Le aziende che sottoscriveranno il nuovo accordo dovranno pubblicare sui loro siti Internet le loro policy per la privacy, auto-certificare annualmente che sono in linea con quanto richiede la legge e sottoporsi a regolari verifiche della compliance. Queste verifiche avverranno quando il Dipartimento del Commercio riceverà specifici reclami, quando un’azienda non fornirà risposte soddisfacenti a eventuali richieste o quando esistono prove credibili che indicano che un’azienda potrebbe non rispettare i Principi del Privacy Shield.
Un meccanismo annuale di revisione congiunto
Parte dello “Ue-Usa Privacy Shield” prevede anche una revisione congiunta annuale al fine di monitorare da vicino il rispetto degli impegni a monitorare e applicare l’accordo. Tale meccanismo cercherà anche di assicurare che il governo USA non sta conducendo operazioni di sorveglianza di massa indiscriminata per motivi di legge o di sicurezza nazionale. La Commissione Europea e il Dipartimento del Commercio americano svolgeranno questa revisione, che coinvolgerà rappresentanti dell’intelligence nazionale americana e delle Autorità europee per la protezione dei dati.
La Commissione attingerà a tutte le altre fonti di informazione disponibili, inclusi i report sulla trasparenza delle aziende, per conoscere quali e quante sono le eventuali richieste di accesso del governo. La Commissione terrà anche un summit annuale sulla privacy con Ogn e stakeholder interessati per discutere di ulteriori sviluppi nell’ambito della legislazione USA sulla privacy e le implicazioni per gli europei. Sulla base della revisione annuale, la Commissione manderà un report pubblico al Parlamento e al Consiglio europei.
Diverse possibilità di ricorso
Per la prima volta, gli europei avranno anche diverse possibilità con cui presentare reclamo nel caso di un possibile abuso o violazione dei loro dati negli Stati Uniti. Queste possibilità di ricorso saranno più semplici e meno costose di quelle consentite dal vecchio sistema del “Safe Harbour”.
Il primo passo possibile per un cittadino Ue, in caso di problemi, è di fare reclamo direttamente nei confronti dell’azienda Usa che gestisce i suoi dati. Le aziende dovranno rispondere rapidamente ai reclami dei singoli cittadini, entro 45 giorni. Se ciò non è sufficiente a risolvere il problema, i cittadini avranno accesso a diversi strumenti alternativi per la risoluzione del contenzioso, senza alcun costo. Anche le Autorità europee per la protezione dati potranno presentare reclamo nei confronti del Dipartimento del Commercio Usa e della Federal Trade Commission per assicurarsi che i reclami aperti dei cittadini Ue siano presi in considerazione e trovino risoluzione.
Come possibilità di last resort, i singoli cittadini potranno ricorrere al Privacy Shield Panel, un meccanismo di arbitrato, che può prendere decisioni vincolanti nei confronti di aziende USA auto-certificate, che assicurerà che ogni singolo reclamo sia preso in carico e che le persone ottengano sempre un risarcimento.
In più, le aziende possono impegnarsi a rispettare le linee guida delle Autorità europee per la protezione dei dati. Questo è obbligatorio per le aziende che gestiscono dati delle risorse umane.
Se le aziende non rispetteranno nella pratica i Principi del Privacy Shield si troveranno a fronteggiare multe o addirittura la rimozione dall’accordo, e questo vuol dire che non potranno più ricevere dati personali dall’UE.
Il nuovo meccanismo dell’Ombudsperson
Lo schema del Privacy Shield introduce anche un nuovo meccanismo di ricorso: un Ombudsperson, indipendente dai servizi di sicurezza nazionali. Questo speciale Ombudsperson all’interno del Dipartimento di Stato americano risponderà e seguirà i reclami e le richieste da parte dei cittadini dell’Ue riguardo a un possibile accesso illegittimo alle loro informazioni personali da parte dei servizi nazionali di intelligence USA.
L’Ombudsperson informerà il cittadino che ha presentato il reclamo se la questione viene seguita con un’indagine adeguata e farà sapere o che la legge Usa è stata rispettata oppure, in caso di mancata compliance, che sono stati adottati dei rimedi.
Il futuro
Questo nuovo quadro di riferimento per la privacy è un passo in avanti nella cooperazione UE-USA. Le condizioni per i trasferimenti dei dati personali da parte del settore commerciale sono rese, in modo efficace, più severe. Le aziende dovranno prendere molto sul serio i loro impegni sulla privacy e, fornendo maggiore protezione al flusso di dati transatlantici usati per scopi commerciali, garantiranno maggiore protezione per la privacy dei cittadini europei. Questo è importante. I cittadini devono potersi fidare delle aziende del mondo digitale se vogliamo costruire un Digital Single Market nell’UE. Inoltre, le aziende trarranno beneficio dalla certezza legale, che è uno stimolo soprattutto per le piccole imprese a investire e sviluppare le loro attività da un lato o l’altro dell’Atlantico. La fiducia nel mondo online permetterà ai due partner transatlantici di collaborare più da vicino e consolidare i nostri valori e interessi condivisi, dando a entrambi la libertà di perseguire i nostri obiettivi di promuovere l’innovazione e gli investimenti nella digital economy.
Le Autorità per la protezione dei dati hanno pubblicato la loro opinione e le loro raccomandazioni sul Privacy Shield ad aprile e stiamo lavorando adesso con gli Usaper incorporare queste raccomandazioni nel testo definitivo. Dopo il voto degli Stati membro, il nostro obiettivo è che il Privacy Shield sia formalmente adottato in estate. Abbiamo urgente bisogno che il quadro di riferimento del Privacy Shield sia funzionante e attivo affinché le aziende e i singoli cittadini dai due lati dell’Atlantico possano continuare a garantire un alto livello di protezione dei dati.
* Commissario Ue per il Digital Single Market e Commissario Ue per la Giustizia, i Consumatori e le Pari Opportunità
