Il trasferimento di dati personali negli Stati Uniti: dal safe harbor al privacy shield

All’inizio del mese di febbraio era giunta un’importante comunicazione dall’Unione Europea che chiariva le nuove prospettive in relazione al meccanismo di protezione dei dati personali trasferiti dall’Europa verso gli Stati Uniti. Dopo che la Corte di Giustizia Europea, nell’ottobre scorso, aveva dichiarato invalido il precedente Safe Harbor (risalente al 2000), considerato non adeguato per proteggere la riservatezza dei cittadini europei, un nuovo accordo transfrontaliero per colmare questa lacuna si era reso necessario. La nuova intesa, battezzata EU – USA Privacy Shield, ma non ancora definita nei particolari, era stata accolta in modo positivo dai funzionari americani che subito avevano assicurato l’assenza di sorveglianza di massa o indiscriminata da parte delle autorità della sicurezza nazionale.

Pochi giorni fa i dettagli di questo “scudo per la privacy” sono stati pubblicati dalla Commissione Europea, assieme ad un progetto di decisione di adeguatezza (draft decision on adequacy) che, una volta adottato, decreterà l’equivalenza dei livelli di protezione dei dati tra Usa ed Europa, ed i testi che costituiscono l’accordo vero e proprio con gli impegni del governo statunitense.

Ma le promesse sono state mantenute? Anzitutto, sono stati imposti obblighi più severi alle società e una rigida applicazione delle regole previste: le aziende che aderiranno all’accordo saranno difatti sottoposte a stringenti sistemi di vigilanza e controllo, e potranno essere sanzionate o escluse in ipotesi di inosservanza dei requisiti richiesti. Sono state anche previste garanzie di trasparenza e limitazioni per le autorità pubbliche, nel senso che, ad eccezione di ipotese specifiche (come in caso di sicurezza nazionale), non sarà più possibile un controllo generalizzato dei dati.

I cittadini Europei saranno poi tutelati attraverso diverse possibilità di ricorso. In primis, la figura indipendente dell’Ombudsperson, che funge da mediatore/difensore civico, vigilerà sugli accessi in materia di intelligence nazionale e tratterà i reclami e le richieste di informazioni, valutando il rispetto delle normative in materia. Ove il cittadino dovesse rilevare un utilizzo illecito dei propri dati, egli avrà inoltre la possibilità di rivolgersi direttamente alle aziende, le quali, peraltro, saranno tenute a risolvere la controversia nel termine massimo di 45 giorni, ovvero alle proprie autorità nazionali di protezione dei dati che, in collaborazione con la Federal Trade Commission, si adopereranno per risolvere le relative questioni. Come ulteriore possibile rimedio sarà infine possibile ricorrere ad un sistema di arbitrato.

In aggiunta, il funzionamento del Privacy Shield sarà monitorato sistematicamente grazie ad un meccanismo annuale di riesame congiunto tra la Commissione Europea e il Ministero del Commercio degli Stati Uniti.

In connessione con questo complesso sistema di tutele in tema di privacy, la scorsa settimana il Presidente Barack Obama ha firmato il Judicial Redress Act che, a sentire gli USA, dovrebbe garantire agli europei gli stessi diritti in materia di privacy e data protection degli americani; anche se, nell’applicazione concreta, sono presenti numerose eccezioni.

Il prossimo passaggio per la formazione di questo accordo spetta ora al comitato composto dai rappresentanti degli Stati membri e dell’Autorità europea di protezione dei dati (Article 29 Working Party), che darà il proprio parere prima della decisione definitiva da parte del Collegio.