Privacy Shield: porto non sicuro come Safe Harbor?
La Commissione Europea presenta lo scudo UE-USA per la privacy
Cos'è questo? La Commissione Europea presenta lo scudo UE-USA per la privacy.
Febbraio 2016 sarà ricordato come il mese del Privacy Shield: il nuovo accordo UE-USA per il trasferimento transoceanico dei dati personali che "dovrebbe" garantire maggiori tutele e protezione ai cittadini dell’Unione. E’ di questo lunedì, ultimo giorno di febbraio, la pubblicazione da parte della Commissione Europea dei testi giuridici che instaurano lo scudo UE-USA per la privacy e un comunicato stampa che illustra le azioni adottate negli ultimi anni per "ripristinare la fiducia dei flussi transatlantici di dati", soprattutto a seguito delle divulgazioni sui programmi indiscriminati di intercettazioni e sorveglianza di massa del 2013.
La Commissione ha lavorato intensamente e contemporaneamente su più fronti: riforma delle norme UE in materia di protezione dei dati personali, che si applica a tutte le imprese che prestano servizi sul mercato dell’Unione, e quindi anche alle imprese extra UE; accordo quadro UE-USA, che garantisce norme elevate di protezione per il trasferimento di dati tra le due sponde dell’Atlantico a fini di operazioni di contrasto della criminalità; scudo UE-USA per la privacy, quale "rinnovato e solido quadro regolamentare per lo scambio dei dati".
Sempre di lunedì anche la pubblicazione di un progetto di "decisione sull’adeguatezza" del Privacy Shield da parte della stessa Commissione. Come dire che "se la cantano e se la suonano"!
Il nuovo accordo, oltre a comprendere i principi relativi allo scudo privacy che tutte le imprese saranno tenute a rispettare, include anche gli impegni scritti degli USA, pubblicati a breve nel US Federal Register, sull’applicazione dell’accordo, comprese assicurazioni sul rispetto delle garanzie e delle limitazioni in materia di accesso ai dati da parte delle autorità pubbliche.
Il Vicepresidente Ansip ha dichiarato: "Oggi cominceremo a tradurre in realtà lo scudo UE-USA per la privacy. Su entrambe le sponde dell’Atlantico si lavora per garantire che i dati personali dei cittadini siano pienamente protetti e che siano adeguati alle opportunità offerte dall’era digitale. Spetta alle imprese dare concreta attuazione al quadro e noi siamo in contatto quotidiano con loro per fare in modo che la preparazione avvenga nel miglior modo possibile. Porteremo avanti i nostri sforzi, all’interno dell’UE e a livello mondiale, per rafforzare la fiducia nell’ambiente online. La fiducia è indispensabile come motore del nostro futuro digitale".
La Commissaria Jourová ha affermato: "La tutela dei dati personali è la mia priorità sia all’interno dell’UE sia a livello internazionale. Lo scudo UE-USA per la privacy è un nuovo e solido quadro, basato sull’applicazione e sulla sorveglianza rigorose, sistemi di ricorso più semplici per i cittadini e, per la prima volta, una garanzia scritta dei nostri partner statunitensi sulle limitazioni e le salvaguardie in materia di accesso ai dati da parte delle autorità pubbliche per motivi di sicurezza nazionale. Inoltre, ora che il presidente Obama ha firmato il Judicial Redress Act che conferisce ai cittadini dell’UE il diritto di far valere i propri diritti alla protezione dei dati dinanzi ai tribunali USA, proporremo a breve la firma dell’accordo quadro UE-USA che dà garanzie in materia di trasferimento di dati ai fini dell’azione di contrasto della criminalità. Queste forti misure di tutela consentono all’Europa e all’America di ripristinare la fiducia nei trasferimenti transatlantici di dati".
Il Privacy Shield "dovrebbe" di fatto, una volta sottoscritto e adottato, fornire adeguate garanzie nel trasferimento dei dati verso gli USA equivalenti alle norme in materia di protezione dei dati personali della UE. Il nuovo accordo "dovrebbe" rispecchiare i requisiti stabiliti dalla Corte Europea di Giustizia nella sentenza del 6 ottobre 2015 con la quale si è "invalidato" il precedente accordo di Safe Harbor. Le autorità statunitensi si sono risolutamente impegnate affinché il Privacy Shield sia rigorosamente rispettato e hanno escluso qualsiasi atto di sorveglianza di massa o indiscriminata da parte delle autorità di sicurezza nazionali in futuro.
In che modo tali garanzie potranno essere rispettate?
Le principali novità come riporta lo stesso comunicato stampa sono:
"Imposizione di obblighi precisi alle società e una robusta applicazione: il nuovo accordo sarà trasparente e comprenderà efficaci meccanismi di vigilanza, fra cui quello di sanzioni o esclusione in caso di inadempienza, al fine di garantire che le società rispettino i loro obblighi. Le nuove regole comprendono anche condizioni più rigorose per i trasferimenti successivi ad altri partner dalle società che partecipano al programma;Garanzie chiare e obblighi di trasparenza applicabili all’accesso da parte del governo degli Stati Uniti: per la prima volta, gli Stati Uniti hanno fornito all’UE una garanzia scritta, da parte dell’Ufficio del Direttore dell’intelligence nazionale, che tutti i diritti di accesso delle autorità pubbliche ai fini della sicurezza nazionale saranno soggetti a precisi limiti, garanzie e meccanismi di controllo, e sarà impedito l’accesso generalizzato ai dati personali. John Kerry, segretario di Stato statunitense, si è impegnato a introdurre una possibilità di ricorsoin materia di intelligence nazionale per i cittadini dell’UE tramite un meccanismo basato sulla figura del mediatore all’interno del Dipartimento di Stato, che sarà indipendente dai servizi di sicurezza nazionali. Il Mediatore tratterà i reclami e le richieste di informazioni da parte di singoli cittadini dell’UE e li informerà se le normative in materia sono state rispettate. Tali impegni scritti saranno pubblicati nel U.S. Federal Register;Protezione effettiva dei diritti dei cittadini dell’UE con diverse possibilità di ricorso:i reclami devono essere risolti dalle imprese entro 45 giorni. Sarà disponibile una soluzione consistente nella composizione extragiudiziale gratuita delle controversie. I cittadini dell’UE si potranno anche rivolgere alle loro autorità nazionali di protezione dei dati, che collaboreranno con la Commissione federale per il commercio per assicurare che i reclami dei cittadini dell’UE vengano esaminati e risolti. Qualora una controversia non sia stata risolta mediante detti mezzi, si potrà far ricorso, in ultima istanza, ad un meccanismo di arbitrato, la cui decisione sarà esecutiva. Inoltre, le imprese possono impegnarsi a rispettare il parere delle autorità di protezione dei dati dell’UE. Tale disposizione è obbligatoria per le imprese che trattano dati relativi alle risorse umane;Meccanismo annuale di riesame congiunto: Il meccanismo consentirà di monitorare il funzionamento dello scudo per la privacy, compresi gli impegni e le garanzie relative all’accesso ai dati a fini di contrasto della criminalità e finalità di sicurezza nazionale. La Commissione europea e il ministero del Commercio degli Stati Uniti procederanno al riesame, e inviteranno esperti nazionali di intelligence degli Stati Uniti e delle autorità europee di protezione dei dati a parteciparvi. La Commissione farà ricorso a tutte le altre fonti di informazioni disponibili, comprese le relazioni di trasparenza delle imprese in merito al livello delle richieste di accesso delle autorità pubbliche. La Commissione organizzerà inoltre una conferenza annuale sulla privacy con le organizzazioni non governative interessate e i portatori d’interessi pertinenti per discutere i più ampi sviluppi nel settore del diritto alla privacy degli Stati Uniti e del loro impatto sui cittadini dell’Unione. In base al riesame annuale, la Commissione presenterà una relazione al Parlamento europeo e al Consiglio".
E il comunicato stampa si conclude anticipando le prossime tappe "Nell’immediato: sarà consultato un comitato composto da rappresentanti degli Stati membri e le autorità europee per la protezione dei dati (Gruppo di lavoro "Articolo 29") che esprimerà il proprio parere prima che il collegio prenda una decisione finale. Nel frattempo, la parte statunitense provvederà ai necessari preparativi per porre in atto il nuovo quadro, i meccanismi di monitoraggio e il nuovo meccanismo di mediazione. In seguito all’adozione del Judicial Redress Act da parte del Congresso degli Stati Uniti, firmato dal presidente Obama il 24 febbraio, la Commissione proporrà a breve la firma dell’accordo quadro. La decisione di conclusione dell’accordo dovrebbe essere adottata dal Consiglio dopo aver ottenuto l’approvazione del Parlamento europeo".
A questo punto si potrebbe affermare senza ombra di dubbio che la questione sia stata definitivamente risolta e che i cittadini dell’Unione e relativi dati personali non correranno più gli stessi rischi. Ma possiamo davvero "dormire sonni tranquilli"?
Da una prima lettura della documentazione del Privacy Shield emergono da subito alcuni interrogativi "confermando" che nessuna riforma significativa dovrebbe essere in realtà stata fatta e che soprattutto non ce ne sia una in programma.
Il Datagate è del 2013 e la Commissione UE si è posta in maniera concreta il problema solo a partire dall’ottobre 2015 dopo la sentenza "Schrems", ben due anni dopo, e nel frattempo gli USA hanno continuato imperterriti a trattare i dati personali UE in maniera indiscriminata e in violazione del Diritto Privacy UE, e dello stesso Safe Harbor. Durante questo periodo, la Commissione UE ha permesso di fatto questa situazione, anche se evidente, di palese violazione dei diritti fondamentali dei propri cittadini.
A seguito dell’ "invalidazione" di Safe Harbor, i regolatori UE avevano fissato un primo termine per gennaio ai fini dell’adozione di un nuovo quadro giuridico, in assenza del quale sarebbero iniziati procedimenti legali proprio contro tale esportazione illecita di dati personali verso gli USA. Per rispettare tale scadenza, la Commissione annuncia ai primissimi di febbraio un accordo con gli USA su un nuovo accordo, ma senza nessuna documentazione. Di fatto una dichiarazione di intenti, ma non accordo definito e sottoscritto.
In quell’occasione viene fissato un nuovo termine per la fine di febbraio e questa volta quanto meno viene presentato un testo, ma ancora non definitivo, da valutare e sul quale saranno espressi prossimamente pareri autorevoli. Successivamente dovrà essere sotto posto al voto del Parlamento UE e adottato dal Consiglio UE degli Stati. E nel frattempo, il tempo trascorre inesorabilmente e tutto ciò sempre a patto e condizione che gli USA non chiedano modifiche in senso meno restrittivo dello stesso nuovo accordo quadro.
L’annuncio dell’accordo, in realtà, altro non è che il frutto di un non-negoziato, bensì trattasi di decisione unilaterale e di fatto sopprime ogni ulteriore possibilità di negoziati significativi con gli USA. Poiché il tempo stringeva e le pressioni soprattutto da parte delle singole Autorità Regolatorie nazionali erano forti, costringono di fatto la Commissione a riconfezionare un vecchio ordinamento, Safe Harbor per l’appunto, come un nuovo accordo, il Privacy Schield, che essendo di fatto imposto, in quali termini è possibile definirlo tale?
Dopo oltre due anni la Commissione prima riconosce l’illegittimità del regime precedente per poi cambiare di fatto poco o nulla.
Lo stesso Joe McNamee, Direttore Esecutivo di Diritti Digitali Europei dichiara proprio in questi giorni "La Commissione europea ha dato all’Europa una lezione su come non negoziare. Questo non è un buon affare, difficilmente merita di essere chiamato un ‘affare’ di qualsiasi tipo".
Nel prossimo articolo cercheremo di affrontare in maniera più approfondita proprio alcune di queste criticità che potremmo così riassumere:
Ombudsman ≠ Ombudsman no bulk data = bulk data agreement = arrangement deal = unilateral decision Privacy Shield = Safe Harbor ?
Febbraio 2016 sarà ricordato come il mese del Privacy Shield: il nuovo accordo UE-USA per il trasferimento transoceanico dei dati personali che "dovrebbe" garantire maggiori tutele e protezione ai cittadini dell’Unione. E’ di questo lunedì, ultimo giorno di febbraio, la pubblicazione da parte della Commissione Europea dei testi giuridici che instaurano lo scudo UE-USA per la privacy e un comunicato stampa che illustra le azioni adottate negli ultimi anni per "ripristinare la fiducia dei flussi transatlantici di dati", soprattutto a seguito delle divulgazioni sui programmi indiscriminati di intercettazioni e sorveglianza di massa del 2013.
La Commissione ha lavorato intensamente e contemporaneamente su più fronti: riforma delle norme UE in materia di protezione dei dati personali, che si applica a tutte le imprese che prestano servizi sul mercato dell’Unione, e quindi anche alle imprese extra UE; accordo quadro UE-USA, che garantisce norme elevate di protezione per il trasferimento di dati tra le due sponde dell’Atlantico a fini di operazioni di contrasto della criminalità; scudo UE-USA per la privacy, quale "rinnovato e solido quadro regolamentare per lo scambio dei dati".
Sempre di lunedì anche la pubblicazione di un progetto di "decisione sull’adeguatezza" del Privacy Shield da parte della stessa Commissione. Come dire che "se la cantano e se la suonano"!
Il nuovo accordo, oltre a comprendere i principi relativi allo scudo privacy che tutte le imprese saranno tenute a rispettare, include anche gli impegni scritti degli USA, pubblicati a breve nel US Federal Register, sull’applicazione dell’accordo, comprese assicurazioni sul rispetto delle garanzie e delle limitazioni in materia di accesso ai dati da parte delle autorità pubbliche.
Il Vicepresidente Ansip ha dichiarato: "Oggi cominceremo a tradurre in realtà lo scudo UE-USA per la privacy. Su entrambe le sponde dell’Atlantico si lavora per garantire che i dati personali dei cittadini siano pienamente protetti e che siano adeguati alle opportunità offerte dall’era digitale. Spetta alle imprese dare concreta attuazione al quadro e noi siamo in contatto quotidiano con loro per fare in modo che la preparazione avvenga nel miglior modo possibile. Porteremo avanti i nostri sforzi, all’interno dell’UE e a livello mondiale, per rafforzare la fiducia nell’ambiente online. La fiducia è indispensabile come motore del nostro futuro digitale".
La Commissaria Jourová ha affermato: "La tutela dei dati personali è la mia priorità sia all’interno dell’UE sia a livello internazionale. Lo scudo UE-USA per la privacy è un nuovo e solido quadro, basato sull’applicazione e sulla sorveglianza rigorose, sistemi di ricorso più semplici per i cittadini e, per la prima volta, una garanzia scritta dei nostri partner statunitensi sulle limitazioni e le salvaguardie in materia di accesso ai dati da parte delle autorità pubbliche per motivi di sicurezza nazionale. Inoltre, ora che il presidente Obama ha firmato il Judicial Redress Act che conferisce ai cittadini dell’UE il diritto di far valere i propri diritti alla protezione dei dati dinanzi ai tribunali USA, proporremo a breve la firma dell’accordo quadro UE-USA che dà garanzie in materia di trasferimento di dati ai fini dell’azione di contrasto della criminalità. Queste forti misure di tutela consentono all’Europa e all’America di ripristinare la fiducia nei trasferimenti transatlantici di dati".
Il Privacy Shield "dovrebbe" di fatto, una volta sottoscritto e adottato, fornire adeguate garanzie nel trasferimento dei dati verso gli USA equivalenti alle norme in materia di protezione dei dati personali della UE. Il nuovo accordo "dovrebbe" rispecchiare i requisiti stabiliti dalla Corte Europea di Giustizia nella sentenza del 6 ottobre 2015 con la quale si è "invalidato" il precedente accordo di Safe Harbor. Le autorità statunitensi si sono risolutamente impegnate affinché il Privacy Shield sia rigorosamente rispettato e hanno escluso qualsiasi atto di sorveglianza di massa o indiscriminata da parte delle autorità di sicurezza nazionali in futuro.
In che modo tali garanzie potranno essere rispettate?
Le principali novità come riporta lo stesso comunicato stampa sono:
"Imposizione di obblighi precisi alle società e una robusta applicazione: il nuovo accordo sarà trasparente e comprenderà efficaci meccanismi di vigilanza, fra cui quello di sanzioni o esclusione in caso di inadempienza, al fine di garantire che le società rispettino i loro obblighi. Le nuove regole comprendono anche condizioni più rigorose per i trasferimenti successivi ad altri partner dalle società che partecipano al programma;Garanzie chiare e obblighi di trasparenza applicabili all’accesso da parte del governo degli Stati Uniti: per la prima volta, gli Stati Uniti hanno fornito all’UE una garanzia scritta, da parte dell’Ufficio del Direttore dell’intelligence nazionale, che tutti i diritti di accesso delle autorità pubbliche ai fini della sicurezza nazionale saranno soggetti a precisi limiti, garanzie e meccanismi di controllo, e sarà impedito l’accesso generalizzato ai dati personali. John Kerry, segretario di Stato statunitense, si è impegnato a introdurre una possibilità di ricorsoin materia di intelligence nazionale per i cittadini dell’UE tramite un meccanismo basato sulla figura del mediatore all’interno del Dipartimento di Stato, che sarà indipendente dai servizi di sicurezza nazionali. Il Mediatore tratterà i reclami e le richieste di informazioni da parte di singoli cittadini dell’UE e li informerà se le normative in materia sono state rispettate. Tali impegni scritti saranno pubblicati nel U.S. Federal Register;Protezione effettiva dei diritti dei cittadini dell’UE con diverse possibilità di ricorso:i reclami devono essere risolti dalle imprese entro 45 giorni. Sarà disponibile una soluzione consistente nella composizione extragiudiziale gratuita delle controversie. I cittadini dell’UE si potranno anche rivolgere alle loro autorità nazionali di protezione dei dati, che collaboreranno con la Commissione federale per il commercio per assicurare che i reclami dei cittadini dell’UE vengano esaminati e risolti. Qualora una controversia non sia stata risolta mediante detti mezzi, si potrà far ricorso, in ultima istanza, ad un meccanismo di arbitrato, la cui decisione sarà esecutiva. Inoltre, le imprese possono impegnarsi a rispettare il parere delle autorità di protezione dei dati dell’UE. Tale disposizione è obbligatoria per le imprese che trattano dati relativi alle risorse umane;Meccanismo annuale di riesame congiunto: Il meccanismo consentirà di monitorare il funzionamento dello scudo per la privacy, compresi gli impegni e le garanzie relative all’accesso ai dati a fini di contrasto della criminalità e finalità di sicurezza nazionale. La Commissione europea e il ministero del Commercio degli Stati Uniti procederanno al riesame, e inviteranno esperti nazionali di intelligence degli Stati Uniti e delle autorità europee di protezione dei dati a parteciparvi. La Commissione farà ricorso a tutte le altre fonti di informazioni disponibili, comprese le relazioni di trasparenza delle imprese in merito al livello delle richieste di accesso delle autorità pubbliche. La Commissione organizzerà inoltre una conferenza annuale sulla privacy con le organizzazioni non governative interessate e i portatori d’interessi pertinenti per discutere i più ampi sviluppi nel settore del diritto alla privacy degli Stati Uniti e del loro impatto sui cittadini dell’Unione. In base al riesame annuale, la Commissione presenterà una relazione al Parlamento europeo e al Consiglio".
E il comunicato stampa si conclude anticipando le prossime tappe "Nell’immediato: sarà consultato un comitato composto da rappresentanti degli Stati membri e le autorità europee per la protezione dei dati (Gruppo di lavoro "Articolo 29") che esprimerà il proprio parere prima che il collegio prenda una decisione finale. Nel frattempo, la parte statunitense provvederà ai necessari preparativi per porre in atto il nuovo quadro, i meccanismi di monitoraggio e il nuovo meccanismo di mediazione. In seguito all’adozione del Judicial Redress Act da parte del Congresso degli Stati Uniti, firmato dal presidente Obama il 24 febbraio, la Commissione proporrà a breve la firma dell’accordo quadro. La decisione di conclusione dell’accordo dovrebbe essere adottata dal Consiglio dopo aver ottenuto l’approvazione del Parlamento europeo".
A questo punto si potrebbe affermare senza ombra di dubbio che la questione sia stata definitivamente risolta e che i cittadini dell’Unione e relativi dati personali non correranno più gli stessi rischi. Ma possiamo davvero "dormire sonni tranquilli"?
Da una prima lettura della documentazione del Privacy Shield emergono da subito alcuni interrogativi "confermando" che nessuna riforma significativa dovrebbe essere in realtà stata fatta e che soprattutto non ce ne sia una in programma.
Il Datagate è del 2013 e la Commissione UE si è posta in maniera concreta il problema solo a partire dall’ottobre 2015 dopo la sentenza "Schrems", ben due anni dopo, e nel frattempo gli USA hanno continuato imperterriti a trattare i dati personali UE in maniera indiscriminata e in violazione del Diritto Privacy UE, e dello stesso Safe Harbor. Durante questo periodo, la Commissione UE ha permesso di fatto questa situazione, anche se evidente, di palese violazione dei diritti fondamentali dei propri cittadini.
A seguito dell’ "invalidazione" di Safe Harbor, i regolatori UE avevano fissato un primo termine per gennaio ai fini dell’adozione di un nuovo quadro giuridico, in assenza del quale sarebbero iniziati procedimenti legali proprio contro tale esportazione illecita di dati personali verso gli USA. Per rispettare tale scadenza, la Commissione annuncia ai primissimi di febbraio un accordo con gli USA su un nuovo accordo, ma senza nessuna documentazione. Di fatto una dichiarazione di intenti, ma non accordo definito e sottoscritto.
In quell’occasione viene fissato un nuovo termine per la fine di febbraio e questa volta quanto meno viene presentato un testo, ma ancora non definitivo, da valutare e sul quale saranno espressi prossimamente pareri autorevoli. Successivamente dovrà essere sotto posto al voto del Parlamento UE e adottato dal Consiglio UE degli Stati. E nel frattempo, il tempo trascorre inesorabilmente e tutto ciò sempre a patto e condizione che gli USA non chiedano modifiche in senso meno restrittivo dello stesso nuovo accordo quadro.
L’annuncio dell’accordo, in realtà, altro non è che il frutto di un non-negoziato, bensì trattasi di decisione unilaterale e di fatto sopprime ogni ulteriore possibilità di negoziati significativi con gli USA. Poiché il tempo stringeva e le pressioni soprattutto da parte delle singole Autorità Regolatorie nazionali erano forti, costringono di fatto la Commissione a riconfezionare un vecchio ordinamento, Safe Harbor per l’appunto, come un nuovo accordo, il Privacy Schield, che essendo di fatto imposto, in quali termini è possibile definirlo tale?
Dopo oltre due anni la Commissione prima riconosce l’illegittimità del regime precedente per poi cambiare di fatto poco o nulla.
Lo stesso Joe McNamee, Direttore Esecutivo di Diritti Digitali Europei dichiara proprio in questi giorni "La Commissione europea ha dato all’Europa una lezione su come non negoziare. Questo non è un buon affare, difficilmente merita di essere chiamato un ‘affare’ di qualsiasi tipo".
Nel prossimo articolo cercheremo di affrontare in maniera più approfondita proprio alcune di queste criticità che potremmo così riassumere:
Ombudsman ≠ Ombudsman no bulk data = bulk data agreement = arrangement deal = unilateral decision Privacy Shield = Safe Harbor ?
Articolo del: