Le autorità europee per la Data Protection “hanno salutato con soddisfazione i notevoli miglioramenti” apportati all’accordo per lo scambio dei dati tra Stati Uniti e Unione europea col Privacy Shield rispetto al “vecchio quadro di riferimento del Safe Harbour, specialmente per quel che riguarda l’accesso ai dati sulle materie inerenti la sicurezza delle nazioni e l’incremento della trasparenza. Ringrazio gli esperti per la loro approfondita analisi. La Commissione europea lavorerà celermente per includere le raccomandazioni ricevute nella sua decisione finale. Ho anche già annunciato che proporrò una guida pratica per spiegare a tutti i cittadini le procedure di reclamo e risoluzione”. E’ questo il commento rilasciato da Vera Jourová, commissario europeo alla Giustizia, sul parere espresso dal gruppo di lavoro Article 29 sullo EU-U.S. Privacy Shield.
L’Article 29 Working Party ha infatti sottolineato in una nota gli importanti passi in avanti compiuti dal nuovo accordo sul trasferimento transatlantico dei dati, tra cui definizioni più chiare di alcuni aspetti tecnici e i meccanismi obbligatori di revisione della compliance. Tuttavia il Working Party ha messo in evidenza anche diversi elementi di criticità, tra cui la necessità di allineare il Privacy Shield alle nuove norme europee sulla privacy (General Data Protection Regulation) che entrerà in vigore nel corso del 2018, per assicurare che l’alto livello di protezione garantito dal regolamento Ue sia seguito anche dallo Shield.
Inoltre, poiché il Privacy Shield verrà usato anche per trasferire dati fuori dagli Usa, l’Article 29 ha sottolineato la necessità che i trasferimenti da un paese soggetto al Privacy Shield verso un paese terzo rispettino gli stessi principi.
Altro elemento di forte preoccupazione per il gruppo di esperti è l’accesso delle autorità pubbliche ai dati trasferiti in base al Privacy Shield: non verrebbero offerte sufficienti garanzie contro la raccolta massiccia e indiscriminata di dati provenienti dall’Ue. La presidente del gruppo, Isabelle Falque-Pierrotin, ha spiegto che i regolaotori europei della privacy attendono la decisione da parte della Corte di Giustizia Ue che stabilirà una volta per tutte se si possa considerare legale o no la sorveglianza di massa dei cittadini da parte dei servizi di intelligence. Se la Corte decreterà che tale “spionaggio” a tappeto e indiscriminato è illecito, ciò avrà impatti significativi sulle “eccezioni legate alla sicurezza nazionale” che il Privacy Shield prevede.
Anche l’istituzione della figura dell’Ombudsperson, chiamato a gestire i reclami dei cittadini europei relativamente al trattamento e uso dei loro dati da parte delle forze dell’ordine e agenzie governativa Usa, compresa la Nsa, suscita perplessità: di per sé la figura copre un ruolo necessario ma il Working Party teme che non avrà reali poteri e non sia veramente indipendente, non consentendo quindi un’efficace risoluzione dei contenziosi.
La chiave, ha ribadito la Falque-Pierrotin, sarà comunque l’allineamento del Privacy Shield al nuovo pacchetto di norme Ue sulla privacy, che il Parlamento dovrebbe approvare oggi. I membri dell’Ue avranno poi due anni per l’implementazione del nuovo regolamento sulla protezione dei dati in Europa.
L’Article 29 ha poteri esclusivamente di consulenza, quindi non necessariamente cambiano direzione alle politiche europee, ma rappresentando il punto di vista degli esperti di privacy e la Commissione tende ad accogliere almeno parte delle loro istanze. Anche l’Article 31 Committee, di cui fanno parte rappresentanti dei paesi Ue, darà un parere sul Privacy Shield nelle prossime settimane, ma sarà probabilmente positivo.
La Jourovà ha posto l’accento proprio sull’importanza della ratifica dello Shield da parte dei paesi membro a maggio; “dopo, la Commissione adotterà la sua decisione finale a giugno, cosicché lo EU-US Privacy Shield possa diventare operativo e permettere un aumento della protezione dei dati per i cittadini e della certezza legale per le imprese”, ha dichiarato la commissaria Ue alla Giustizia. La Jourovà ha sottolineato che si aspetta la collaborazione di tutti i Garanti privacy europei per un buon funzionamento “su campo” dell’accordo.
