Luci ed ombre del Privacy Shield
Dichiarato invalido Safe Harbor per il trattamento dei dati personali UE ed USA concordano sui principi di un nuovo Accordo: il Privacy Shield
L’Unione Europea e gli Stati Uniti sono riusciti a trovare dei punti di contatto e condivisi per risolvere un problema strutturale dell’economia mondiale e del mercato: il corretto trattamento dei dai personali.
Il Commissario europeo Jourova ed il vicepresidente della Commissione Europea Ansip si sono dichiarati molto soddisfatti: "Le nostre imprese, soprattutto quelle più piccole, avranno la certezza del diritto di cui hanno bisogno per sviluppare le loro attività attraverso l'Atlantico....[n.d.r. questo accordo] ci aiuta a costruire un mercato unico del digitale in Europa, un ambiente online affidabile e dinamico".
Non potendo più ricorrere alla disciplina dettata dal c.d. accordo Safe Harbor in questi mesi le aziende, seguendo anche le indicazioni della Autorità Garanti, hanno fatto ricorso alle Binding Corporate Rules e alle Model Contract Clauses per garantire la maggiore adeguatezza possibile al trattamento dei dati personali trasferiti in territorio americano.
Ricordiamo infatti che con la sentenza del 6 ottobre 2015 la Corte di Giustizia Europea ha sostanzialmente invalidato l’accordo c.d. Safe Harbor tra USA ed UE con il quale si dava per presupposto che gli Stati Uniti fossero, appunto, un porto sicuro per il corretto trattamento dei dati.
L’accordo Privacy Shield che per ora fissa soltanto delle linee di principio tenderebbe proprio a risolvere tutte le questioni critiche sollevate anche da quelle vicende. Tuttavia i dubbi sono ancora molti.
Le Autorità Garanti per il trattamento dei dati personali riunite nel Gruppo di Lavoro Articolo 29, che a suo tempo aveva espresso posizioni molto ferme in merito alle soluzioni cui ricorrere per uscire dallo stallo normativo e commerciale conseguente al dichiarazione di invalidità del Safe Harbor, infatti non hanno ancora espresso un giudizio definitivo rimanendo in attesa di leggere un testo effettivo.
Il Gruppo Articolo 29 ha anche sottolineato la necessità di conoscere ed approfondire, quanto prima, maggiori dettagli in merito all’accordo, in particolare sulle modalità con cui gli Stati Uniti si sono impegnati al rispetto dei principi del Privacy Shield; così in ha chiarito che attualmente è ancora valida la scelta per le aziende di ricorrere alle Bunding Corporate Rules.
Questo punto è particolarmente critico perché l’accordo non sembra affrontare il problema che neanche il Safe Harbor risolveva e cioè l’applicabilità concorrente tra le BCR ed, ora, il Privacy Shield. Alternativa che ancora non è passata al vaglio della Corte di Giustizia e che lascerebbe spazio alla possibilità di nuovi ricorsi.
Va poi considerato che gli strumenti e le novità che sono state annunciate implicheranno molteplici passaggi sia legislativi che di organizzazione strutturale (per esempio in riferimento al sistema dei ricorsi al difensore civico) che non sono, evidentemente di immediata approvazione ed applicazione.
Le maggiori novità sono tre:
1) Le aziende statunitensi che desiderano importare i dati personali provenienti dall’Europa dovranno impegnarsi a rispettare obblighi più stringenti riguardo il trattamento dati personali, obbligandosi anche a rispettare le decisioni delle Autorità Garanti Europee. A ciò si aggiunge che, da una parte, il Dipartimento del Commercio Americano monitorerà che tali aziende provvederanno a rendere pubblichi gli impegni presi, dall’altra la Federal Trade Commission agirà affinché quegli impegni siano rispettati ai sensi del diritto statunitense.
2) L'accesso ai dati da parte delle Autorità Pubbliche e delle Forze dell'Ordine giustificate da ragioni di sicurezza nazionale sarà soggetto a limitazioni, garanzie e meccanismi di controllo. Tali azioni invasive dovranno comunque essere poste in essere soltanto in misura necessaria e proporzionata. In questo contesto si è esclusa la possibilità di una sorveglianza di massa indiscriminata. Proprio al fine di monitorare regolarmente il funzionamento di questi impegni ci sarà una revisione annuale congiunta tra UE e USA.
3) E’ stata prevista una protezione maggiormente efficace dei diritti dei cittadini dell'Unione prevedendo diverse possibilità di ricorso. Le Autorità Garanti potranno presentare dei casi al Dipartimento del Commercio e la Federal Trade Commission. Inoltre per i reclami nei casi di accesso da parte delle autorità di intelligence nazionali, verrà creato un nuovo difensore civico.
I meri principi ed impegni non bastano. Attendiamo comunque un testo normativo sul quale ragionare in maniere più analitica.
Il Commissario europeo Jourova ed il vicepresidente della Commissione Europea Ansip si sono dichiarati molto soddisfatti: "Le nostre imprese, soprattutto quelle più piccole, avranno la certezza del diritto di cui hanno bisogno per sviluppare le loro attività attraverso l'Atlantico....[n.d.r. questo accordo] ci aiuta a costruire un mercato unico del digitale in Europa, un ambiente online affidabile e dinamico".
Non potendo più ricorrere alla disciplina dettata dal c.d. accordo Safe Harbor in questi mesi le aziende, seguendo anche le indicazioni della Autorità Garanti, hanno fatto ricorso alle Binding Corporate Rules e alle Model Contract Clauses per garantire la maggiore adeguatezza possibile al trattamento dei dati personali trasferiti in territorio americano.
Ricordiamo infatti che con la sentenza del 6 ottobre 2015 la Corte di Giustizia Europea ha sostanzialmente invalidato l’accordo c.d. Safe Harbor tra USA ed UE con il quale si dava per presupposto che gli Stati Uniti fossero, appunto, un porto sicuro per il corretto trattamento dei dati.
L’accordo Privacy Shield che per ora fissa soltanto delle linee di principio tenderebbe proprio a risolvere tutte le questioni critiche sollevate anche da quelle vicende. Tuttavia i dubbi sono ancora molti.
Le Autorità Garanti per il trattamento dei dati personali riunite nel Gruppo di Lavoro Articolo 29, che a suo tempo aveva espresso posizioni molto ferme in merito alle soluzioni cui ricorrere per uscire dallo stallo normativo e commerciale conseguente al dichiarazione di invalidità del Safe Harbor, infatti non hanno ancora espresso un giudizio definitivo rimanendo in attesa di leggere un testo effettivo.
Il Gruppo Articolo 29 ha anche sottolineato la necessità di conoscere ed approfondire, quanto prima, maggiori dettagli in merito all’accordo, in particolare sulle modalità con cui gli Stati Uniti si sono impegnati al rispetto dei principi del Privacy Shield; così in ha chiarito che attualmente è ancora valida la scelta per le aziende di ricorrere alle Bunding Corporate Rules.
Questo punto è particolarmente critico perché l’accordo non sembra affrontare il problema che neanche il Safe Harbor risolveva e cioè l’applicabilità concorrente tra le BCR ed, ora, il Privacy Shield. Alternativa che ancora non è passata al vaglio della Corte di Giustizia e che lascerebbe spazio alla possibilità di nuovi ricorsi.
Va poi considerato che gli strumenti e le novità che sono state annunciate implicheranno molteplici passaggi sia legislativi che di organizzazione strutturale (per esempio in riferimento al sistema dei ricorsi al difensore civico) che non sono, evidentemente di immediata approvazione ed applicazione.
Le maggiori novità sono tre:
1) Le aziende statunitensi che desiderano importare i dati personali provenienti dall’Europa dovranno impegnarsi a rispettare obblighi più stringenti riguardo il trattamento dati personali, obbligandosi anche a rispettare le decisioni delle Autorità Garanti Europee. A ciò si aggiunge che, da una parte, il Dipartimento del Commercio Americano monitorerà che tali aziende provvederanno a rendere pubblichi gli impegni presi, dall’altra la Federal Trade Commission agirà affinché quegli impegni siano rispettati ai sensi del diritto statunitense.
2) L'accesso ai dati da parte delle Autorità Pubbliche e delle Forze dell'Ordine giustificate da ragioni di sicurezza nazionale sarà soggetto a limitazioni, garanzie e meccanismi di controllo. Tali azioni invasive dovranno comunque essere poste in essere soltanto in misura necessaria e proporzionata. In questo contesto si è esclusa la possibilità di una sorveglianza di massa indiscriminata. Proprio al fine di monitorare regolarmente il funzionamento di questi impegni ci sarà una revisione annuale congiunta tra UE e USA.
3) E’ stata prevista una protezione maggiormente efficace dei diritti dei cittadini dell'Unione prevedendo diverse possibilità di ricorso. Le Autorità Garanti potranno presentare dei casi al Dipartimento del Commercio e la Federal Trade Commission. Inoltre per i reclami nei casi di accesso da parte delle autorità di intelligence nazionali, verrà creato un nuovo difensore civico.
I meri principi ed impegni non bastano. Attendiamo comunque un testo normativo sul quale ragionare in maniere più analitica.
Articolo del: