In Europa, il diritto alla riservatezza dei dati personali ha trovato recente riconoscimento e protezione nel GDPR, il nuovo Regolamento UE in materia di protezione dei dati personali.

Ma chi (o cosa) garantisce la Privacy dei cittadini europei oltreoceano?

Nel 2016, dopo un lungo iter burocratico, Unione Europea e Stati Uniti hanno raggiunto un accordo: lo EU-US Privacy Shield (in italiano, Scudo UE-USA per la Privacy).

La negoziazione di un nuovo accordo era necessaria dopo l’ottobre 2015, quando la Corte di Giustizia dell’Unione Europea ha dichiarato invalido il Safe Harbour (Approdo Sicuro), la normativa che precedentemente regolava il trasferimento di dati personali dall’UE agli USA da parte delle Imprese. Secondo la Corte di Giustizia, tale regime non assicurava una protezione adeguata ai dati personali dei cittadini europei, diversamente da quanto previsto dalle norme vigenti per gli Stati dell’UE.

Privacy Shield: cos’è?

Come anticipato, lo Scudo EU-USA per la Privacy (il Privacy Shield, per l’appunto) è un accordo stipulato tra Commissione Europea e Dipartimento del Commercio degli Stati Uniti al fine di tutelare la riservatezza dei dati personali dei cittadini europei in caso di trasferimento oltreoceano a scopo commerciale.

Il nuovo regime obbliga le imprese americane a proteggere i dati personali dei cittadini europei e rafforza i poteri di controllo del Dipartimento del Commercio USA e della Federal Trade Commission, aprendo lo spiraglio ad una collaborazione con le autorità europee di protezione dei dati.

L’accordo tiene conto dei requisiti stabiliti dalla Corte di giustizia dell’UE nella sentenza del 6 ottobre 2015, che ha dichiarato invalido il precedente regime normativo, delineando un nuovo quadro, più severo e rigoroso, per i flussi transatlantici di dati.

Che cosa prevede il nuovo regime?

Il Privacy Shield introduce una serie di novità significative:

  • obblighi più severi per le imprese che operano negli Stati Uniti e trattano dati personali di cittadini europei: le imprese statunitensi che intendono importare dati personali dall’Europa dovranno rispettare obblighi rigorosi, impegnandosi a tutelare i diritti individuali degli Interessati nel corso del trattamento, nel rispetto delle decisioni delle autorità di protezione dei singoli Stati Europei.
  • Vigilanza e controllo da parte del Dipartimento del Commercio USA: il rispetto degli obblighi sarà garantito dal Dipartimento del Commercio, al quale l’accordo UE-USA ha attribuito maggiori poteri di controllo. L’organo competente a erogare sanzioni in caso di violazioni della normativa sarà la Federal Trade Commission.
  • Divieto di sorveglianza indiscriminata di massa da parte delle autorità pubbliche sui dati personali trasferiti negli Stati Uniti: per la prima volta, il Privacy Shield introduce forti limitazioni ai poteri di controllo del Governo degli Stati Uniti. L’accesso delle Autorità Pubbliche ai dati, per motivi di legge o sicurezza nazionale, sarà soggetto a chiare limitazioni, garanzie e meccanismi di sorveglianza. La raccolta di dati in blocco sarà possibile solo in presenza di determinati presupposti. Il regolare funzionamento del regime sarà garantito da una revisione congiunta annuale, condotta dalla Commissione Europea di concerto con il Dipartimento del Commercio degli Stati Uniti, con la partecipazione dei maggiori esperti di intelligence degli Stati Uniti e delle Autorità di controllo dei dati europee.
  • Possibilità di ricorso per i cittadini europei: qualora un cittadino europeo dovesse ritenere violate le disposizioni dell’accordo, ovvero che i suoi dati siano stati utilizzati scorrettamente a suo danno, grazie al Privacy Shield potrà fare ricorso (al quale le imprese dovranno rispondere entro termini ben precisi). Le stesse Autorità di protezione dei dati dei singoli Stati Membri potranno presentare una denuncia presso il dipartimento del Commercio e la Federal Trade Commission. Il nuovo accordo UE-USA introduce altresì un Mediatore in caso di denuncia riguardante l’accesso delle autorità nazionali di Intelligence.

Il Privacy Shield protegge effettivamente i dati degli europei?

A sollevare il dubbio il Parlamento Europeo, preoccupato per la sicurezza dei dati dei cittadini del Vecchio Continente trasferiti dalle aziende negli USA. Per questo motivo, ha approvato una risoluzione in cui chiede alla Commissione di assicurarsi che la nuova amministrazione Trump rispetti le regole dell’accordo UE-USA.

Lo stesso Garante Europeo della Protezione dei Dati (GEPD), Autorità indipendente che controlla il trattamento dei dati personali da parte delle Istituzioni e degli organismi dell’UE, il 30 maggio 2016, ha pubblicato un parere sullo Scudo UE-USA per la Privacy. Secondo Giovanni Buttarelli, nonostante gli sforzi in tal senso compiuti, per garantire la sicurezza dei flussi transatlantici di dati, occorre una soluzione più robusta e sostenibile. In tale sede, il GEPD ha inoltre dichiarato che “qualora la Commissione intenda adottare una decisione di adeguatezza, sarà necessario apportarvi miglioramenti significativi allo scopo di rispettare l’essenza dei principi fondamentali di protezione dei dati in particolare per quanto riguarda la necessità, la proporzionalità e i meccanismi di rimedio “.

In base al parere fornito dal GEPD, per essere realmente efficace, il Privacy Shield deve assicurare un’equivalenza sostanziale tra la normativa europea e americana in materia di protezione dei dati personali (tra le quali sussistono ancora divergenze significative), soprattutto in vista dell’entrata in vigore, nel maggio 2018, del Nuovo Regolamento Europeo sulla Privacy.

In particolare, lo Scudo per la Privacy (Privacy Shield) deve assicurare una protezione adeguata ed effettiva contro la sorveglianza indiscriminata e imporre obblighi di trasparenza più severi alle imprese che trattano dati in transito o trasferiti verso gli USA.