di Antonio Serriello

In Europa, il diritto alla riservatezza dei dati personali ha trovato recente riconoscimento e protezione nel GDPR, il nuovo Regolamento UE in materia di protezione dei dati personali.

Ma chi (o cosa) garantisce la Privacy dei cittadini europei oltreoceano?

Nel 2016, dopo un lungo iter burocratico, Unione Europea e Stati Uniti hanno raggiunto un accordo: lo EU-US Privacy Shield (in italiano, Scudo UE-USA per la Privacy).

La negoziazione di un nuovo accordo era necessaria dopo l’ottobre 2015, quando la Corte di Giustizia dell’Unione Europea ha dichiarato invalido il Safe Harbour (Approdo Sicuro), la normativa che precedentemente regolava il trasferimento di dati personali dall’UE agli USA da parte delle Imprese. Secondo la Corte di Giustizia, tale regime non assicurava una protezione adeguata ai dati personali dei cittadini europei, diversamente da quanto previsto dalle norme vigenti per gli Stati dell’UE.

Privacy Shield: cos’è?

Come anticipato, lo Scudo EU-USA per la Privacy (il Privacy Shield, per l’appunto) è un accordo stipulato tra Commissione Europea e Dipartimento del Commercio degli Stati Uniti al fine di tutelare la riservatezza dei dati personali dei cittadini europei in caso di trasferimento oltreoceano a scopo commerciale.

Il nuovo regime obbliga le imprese americane a proteggere i dati personali dei cittadini europei e rafforza i poteri di controllo del Dipartimento del Commercio USA e della Federal Trade Commission, aprendo lo spiraglio ad una collaborazione con le autorità europee di protezione dei dati.

L’accordo tiene conto dei requisiti stabiliti dalla Corte di giustizia dell’UE nella sentenza del 6 ottobre 2015, che ha dichiarato invalido il precedente regime normativo, delineando un nuovo quadro, più severo e rigoroso, per i flussi transatlantici di dati.

Che cosa prevede il nuovo regime?

Il Privacy Shield introduce una serie di novità significative:

  • obblighi più severi per le imprese che operano negli Stati Uniti e trattano dati personali di cittadini europei: le imprese statunitensi che intendono importare dati personali dall’Europa dovranno rispettare obblighi rigorosi, impegnandosi a tutelare i diritti individuali degli Interessati nel corso del trattamento, nel rispetto delle decisioni delle autorità di protezione dei singoli Stati Europei.
  • Vigilanza e controllo da parte del Dipartimento del Commercio USA: il rispetto degli obblighi sarà garantito dal Dipartimento del Commercio, al quale l’accordo UE-USA ha attribuito maggiori poteri di controllo. L’organo competente a erogare sanzioni in caso di violazioni della normativa sarà la Federal Trade Commission.
  • Divieto di sorveglianza indiscriminata di massa da parte delle autorità pubbliche sui dati personali trasferiti negli Stati Uniti: per la prima volta, il Privacy Shield introduce forti limitazioni ai poteri di controllo del Governo degli Stati Uniti. L’accesso delle Autorità Pubbliche ai dati, per motivi di legge o sicurezza nazionale, sarà soggetto a chiare limitazioni, garanzie e meccanismi di sorveglianza. La raccolta di dati in blocco sarà possibile solo in presenza di determinati presupposti. Il regolare funzionamento del regime sarà garantito da una revisione congiunta annuale, condotta dalla Commissione Europea di concerto con il Dipartimento del Commercio degli Stati Uniti, con la partecipazione dei maggiori esperti di intelligence degli Stati Uniti e delle Autorità di controllo dei dati europee.
  • Possibilità di ricorso per i cittadini europei: qualora un cittadino europeo dovesse ritenere violate le disposizioni dell’accordo, ovvero che i suoi dati siano stati utilizzati scorrettamente a suo danno, grazie al Privacy Shield potrà fare ricorso (al quale le imprese dovranno rispondere entro termini ben precisi). Le stesse Autorità di protezione dei dati dei singoli Stati Membri potranno presentare una denuncia presso il dipartimento del Commercio e la Federal Trade Commission. Il nuovo accordo UE-USA introduce altresì un Mediatore in caso di denuncia riguardante l’accesso delle autorità nazionali di Intelligence.

Il Privacy Shield protegge effettivamente i dati degli europei?

A sollevare il dubbio il Parlamento Europeo, preoccupato per la sicurezza dei dati dei cittadini del Vecchio Continente trasferiti dalle aziende negli USA. Per questo motivo, ha approvato una risoluzione in cui chiede alla Commissione di assicurarsi che la nuova amministrazione Trump rispetti le regole dell’accordo UE-USA.

Lo stesso Garante Europeo della Protezione dei Dati (GEPD), Autorità indipendente che controlla il trattamento dei dati personali da parte delle Istituzioni e degli organismi dell’UE, il 30 maggio 2016, ha pubblicato un parere sullo Scudo UE-USA per la Privacy. Secondo Giovanni Buttarelli, nonostante gli sforzi in tal senso compiuti, per garantire la sicurezza dei flussi transatlantici di dati, occorre una soluzione più robusta e sostenibile. In tale sede, il GEPD ha inoltre dichiarato che “qualora la Commissione intenda adottare una decisione di adeguatezza, sarà necessario apportarvi miglioramenti significativi allo scopo di rispettare l’essenza dei principi fondamentali di protezione dei dati in particolare per quanto riguarda la necessità, la proporzionalità e i meccanismi di rimedio “.

In base al parere fornito dal GEPD, per essere realmente efficace, il Privacy Shield deve assicurare un’equivalenza sostanziale tra la normativa europea e americana in materia di protezione dei dati personali (tra le quali sussistono ancora divergenze significative), soprattutto in vista dell’entrata in vigore, nel maggio 2018, del Nuovo Regolamento Europeo sulla Privacy.

In particolare, lo Scudo per la Privacy (Privacy Shield) deve assicurare una protezione adeguata ed effettiva contro la sorveglianza indiscriminata e imporre obblighi di trasparenza più severi alle imprese che trattano dati in transito o trasferiti verso gli USA.

Condividi su twitter
Condividi su linkedin
Condividi su email

Pubblicato il:

Ti interesserà leggere anche

Non perdere le novità

Non perdere le ultime novità dal mondo della Privacy e GDPR

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Unisciti a Privacy Revolution!

Iscrivendoti a Privacy Revolution riceverai gratuitamente aggiornamenti sulle ultime novità in campo Privacy, GDPR e Compliance, inviti a webinar ed eventi speciali!

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.