Lo scorso 12 luglio 2016 la Commissione Europea ha adottato la versione finale del c.d. “UE-USA Privacy Shield”, sistema “a scudo” che andrà a rimpiazzare il c.d. “Safe Harbour Program”, dichiarato invalido dalla Corte di Giustizia UE nell’ottobre scorso.
Come noto, il “Safe Harbour Program” indicava le condizioni di liceità del trasferimento di dati personali da società stabilite in un paese appartenente all’Unione Europea verso società stabilite negli Stati Uniti (e che rispettavano alcuni requisiti volti ad assicurare il rispetto dei livelli minimi di protezione richiesti dalla normativa privacy UE).
A seguito della dichiarazione di invalidità del “Safe Harbour Program”, l’UE e gli USA sono state costrette a trovare una soluzione alternativa che permettesse loro di dar seguito al trasferimento di dati personali, alla luce dell’enorme importanza, anche dal punto di vista economico/commerciale, che ha lo scambio di dati riveste a livello internazionale.
Il nuovo sistema a “scudo” prevede a carico delle imprese aderenti, una serie di verifiche ed aggiornamenti periodici per accertare il rispetto in concreto delle regole stabilite, pena l’esposizione a sanzioni e al depennamento dall’elenco degli aderenti.
Il Governo USA ha inoltre espressamente assunto l’impegno a fare in modo che le autorità pubbliche USA siano sottoposte – in relazione ai dati trasferiti per scopi di applicazione della legge e di sicurezza nazionale – a limitazioni, garanzie e meccanismi di vigilanza precisi al fine di escludere il persistere di attività indiscriminate di sorveglianza di massa sui dati personali trasferiti nell’ambito del sistema a “scudo”.
I titolari dei dati personali oggetto di trasferimento, qualora ritengano sussistente una fattispecie di illecito trattamento dei dati stessi, avranno d’ora in avanti a disposizione vari strumenti che vanno (i) dalla possibilità di rivolgersi direttamente all’impresa, la quale deve rispondereentro 45 giorni, (ii) all’utilizzo gratuito di un meccanismo di ADR (Risoluzione alternativa delle controversie), (iii) all’opportunità di rivolgersi all’Autorità di protezione dati, che collaborerà con il Dipartimento del Commercio e la Federal Trade Commission degli USA per garantire accertamenti sui reclami ancora pendenti presentati da cittadini UE e giungere rapidamente alla loro definizione, (iv) fino alla possibilità di rivolgersi al “Privacy Shield Panel” (vale a dire un collegio arbitrale del
“Privacy Shield” ) per ottenere, se nessun’altra soluzione si è rivelata praticabile, una decisione esecutiva attraverso un meccanismo di arbitrato.
Sono, infine, previsti dei meccanismi di verifica e monitoraggio del funzionamento del nuovo sistema, attraverso i quali la Commissione europea e il Dipartimento del Commercio USA effettueranno un’analisi approfondita con cadenza annuale, usufruendo anche di esperti dell’intelligence nazionale statunitense e delle autorità europee di protezione dei dati.
Le imprese stabilite negli USA potranno certificarsi come aderenti al nuovo sistema presso il Dipartimento del Commercio USA a partire dal 1 agosto 2016, nel mentre la Commissione si è impegnata a pubblicare una breve guida per informare i cittadini UE dei mezzi di ricorso di cui dispone la persona che ritiene che i suoi dati personali siano stati usati senza tener conto delle norme sulla protezione dei dati.
Il “Privacy Shield” è divenuto quindi a tutti gli effetti una base legale sulla quale fondare il trasferimento di dati personali tra UE e USA, tuttavia tale nuovo sistema – sul quale il Garante italiano non si è ancora espresso in termini analitici per valutarne gli aspetti fondamentali – è ancora necessariamente soggetto ad una verifica dal punto di vista della sua implementazione pratica e dei vantaggi e benefici che l’utilizzo dello stesso potrà apportare ai fini della tutela dei diritti degli interessati rispetto alle soluzioni alternative attualmente disponibili, rappresentate per lo più dalle clausole standard elaborate dalla Commissione Europea.
