Scudo UE-USA per la privacy: che effetto avrà il successore del Safe Harbor?

Il successore del patto sul trasferimento dati tra UE e USA “Safe Harbor” è conosciuto con il nome “Privacy Shield”, in italiano “scudo per la privacy”, ed è stato introdotto ufficialmente a metà del 2016. Il nuovo trattato dovrebbe servire come garante del rispetto delle norme europee in maniera di protezione dei dati per il trasferimento verso gli Stati Uniti, come può essere ad esempio l’utilizzo quotidiano delle piattaforme social media. Tuttavia gli Stati Uniti non sembrano particolarmente volenterosi di accettare le richieste fondamentali del Parlamento europeo e dei soggetti interessati alla protezione dei dati. Quali effetti a lungo termine avrà perciò questo trasferimento dati?

Il raggiungimento dell’accordo a protezione dei dati europei è stato confermato ufficialmente dalla Commissione europea a inizio 2016. Dopo che a fine 2015 il Tribunale europeo aveva respinto l’accordo trovato fino a quel momento sulla tutela dei dati Safe Harbor, è stata concordata una proroga fino a fine gennaio 2016 da parte dell’autorità di controllo europea, che ha anche stabilito che durante tale periodo il trasferimento di dati negli USA non doveva essere sottoposto ad alcun controllo. Da questo ne è derivato del malcontento e dell’incertezza da parte di molte aziende, poiché chi sorpreso a trasferire dati in maniera non corretta poteva comunque venire multato dalle autorità di controllo.

Privacy Shield: un successore più severo del predecessore?

Il Judicial Redress Act, fondamentale per il pensionamento del Safe Harbor, è stato firmato il 25 febbraio 2016 dal presidente statunitense Barack Obama. Questa legge ha aperto le possibilità per i cittadini UE di intentare causa alle aziende statunitensi nel caso in cui queste si macchiassero di una infrazione delle norme sulla privacy. A inizio luglio 2016 già molti stati membri dell’Unione Europea hanno aderito alle condizioni della risoluzione del Safe Harbor.

Dopo che l’UE ha riconosciuto l’accettabilità del livello raggiunto in materia di protezione dei dati si è giunti alla creazione di un nuovo fondamento giuridico per la trasmissione transatlantica dei dati, che nella pratica significa che servizi online come Facebook, Amazon e Google possono raccogliere i dati personali dei propri utenti per poi inviare i pacchetti dati negli USA. I fondamenti che hanno portato a determinare il raggiungimento del livello di adeguatezza sono rappresentati dal cosiddetto accordo Privacy Shield. Tramite di esso infatti il governo americano ha garantito determinati standard atti a aumentare il livello di privacy dei dati personali archiviati negli Stati Uniti, in modo che tali standard corrispondano grossomodo a quelli adottati all’interno dell’Unione Europea.

Come vengono garantiti gli standard per l’archiviazione dati da parte degli USA?

Il ministro degli esteri John Kerry ha assicurato che verrà stabilito un servizio indipendente con la funzione di difensore civico, al quale i cittadini europei si possono rivolgere per le proprie richieste e per il disbrigo delle proprio faccende in merito alla difesa dei propri diritti. Infatti lo scopo di questo ufficio dovrebbe essere quello di essere un punto di riferimento per tutti i dubbi dei privati e informarli di eventuali infrazioni.

Per i cittadini e le cittadine dell’Unione Europea sono stati assicurati altri mezzi giuridici. Le aziende interessate devono presentare ricorso entro 45 giorni. È interessante il fatto che sia disponibile anche un procedimento gratuito per portare avanti la mediazione necessaria. Alternativamente i cittadini europei possono rivolgersi alla propria autorità nazionale, la quale in cooperazione con la US Federal Trade Commission si adopererà per far sì che la questione venga risolta. Il procedimento giudiziario e l’emissione di un verdetto esecutivo sono chiaramente l’ultimo passaggio, attuato unicamente nel caso in cui non sia possibile trovare alcuna altra forma di accordo. Mentre per le normali aziende è consigliabile rispettare quelle che sono le raccomandazioni fornite dall’autorità europea di protezione dei dati, tutte quelle aziende che si occupano dell’elaborazione dati hanno l’obbligo assoluto di farlo.

Una volta all’anno deve essere controllato il procedimento dello scudo per la privacy e l’accesso ai dati archiviati. La Commissione europea e il ministro del commercio statunitense conducono congiuntamente questa verifica con il supporto del consulto tecnico di esperti. L’avanzamento in materia di privacy da parte degli Stati Uniti e degli effetti sui cittadini europei viene discusso annualmente in occasione del convegno sulla protezione dei dati, poi riassunto in un rapporto pubblicamente accessibile inviato al Parlamento e al Consiglio europeo.

Concretamente vengono raccolti dati legali per 6 settori. Tuttavia i limiti di questi settori rimangono di libera interpretazione. I settori di controllo legale di massa sono stati classificati come segue:

  • Lotta al terrorismo,
  • Smascherare attività di potenze straniere,
  • Lotta contro la diffusione di armi di distruzioni di massa,
  • Protezione delle forze armate americane e alleate,
  • Lotta alle minacce criminali transnazionali.

EU-US Privacy Shield: 1456 aziende statunitensi certificate

Le aziende americane che vogliono seguire le norme del Privacy Shield, a partire da agosto 2016 hanno la possibilità di dimostrare il rispetto dei principi dello “scudo” attraverso l’autocertificazione. La stragrande maggioranza delle regolamentazioni alla base dello scudo per la privacy sono componenti che facevano già parte del patto Safe Harbor. Tuttavia alcuni dei requisiti sono stati resi meno flessibili e più omnicomprensivi, così che il Privacy Shield risulti più rigido nei confronti di quelle aziende destinatarie del traffico dati transatlantico rispetto al suo predecessore. Tuttavia non si può parlare di una vera e propria equivalenza con gli standard europei in materia di sicurezza, considerando che le uniche aziende tenute al rispetto degli standard europei sono unicamente quelle che trafficano con i dati personali.

Una lista pubblicata sul sito web ufficiale della Federal Trade Commission elenca tutte quelle che sono le aziende attualmente certificate all’archiviazione di dati. Tuttavia la lista non è realmente completa, considerando che in aggiunta alle aziende elencate vanno considerate anche diverse società affiliate (come ad esempio le 20 società di proprietà di Microsoft).

Privacy Shield: pro e contro

L’accordo Privacy Shield porta diversi vantaggi agli utenti europei. Un esempio prominente a questo proposito è il quadro delle priorità definite in agenda, componente fondamentale del regolamento europeo generale sulla protezione dei dati. Tale regolamento serve a far sì che i dati possano essere controllati ed elaborati esclusivamente per uno scopo precedentemente stabilito, inequivocabile e consentito per legge. Inoltre i diritti dei cittadini dell’UE ne dovrebbero uscire rafforzati considerando la possibilità che viene loro data di portare avanti un reclamo nei casi di avvenuta infrazione da parte di un’azienda americana, come ad esempio tramite l’ufficio del difensore civico stabilito negli Stati Uniti per i cittadini europei.

Molti ritengono tuttavia che l’accordo Privacy Shield non salvaguardi sufficientemente i diritti dei cittadini europei. In realtà le richieste del Tribunale europeo non sono state soddisfatte appieno, ma anzi il dissenso è stato sapientemente mascherato. Una verifica concreta delle clausole del Privacy Shield da parte del Tribunale europeo non avrebbe infatti esito positivo. Le differenze del tutto insufficienti con il Safe Harbor sono state criticate aspramente, e molti oppositori pensano che con il Privacy Shield non sono state tappate tutte le falle della protezione dati.

Allo stesso modo le misure di controllo di massa non sottostanno a nessun test di proporzionalità, contravvenendo così a quello che è il diritto europeo. Come se non bastasse gli USA sono riconosciuti come principali possessori del potere di controllo, rendendo così insignificanti le investigazioni da parte delle autorità nazionali. Ne risulta che il controllo, necessario e urgente, delle aziende online americane potrebbe non essere effettuato, rendendo così l’accordo del tutto inadatto, e quindi fallimentare.

Le conseguenze degli accordi del Privacy Shield

Il Privacy Shield tra Unione Europea e Stati Uniti non significa alcuna vera e propria liberazione all’interno dell’UE, essendo che le nuove normative contribuiscono in maniera molto limitata in materia di tutela dei diritti. Molte aziende online sono vincolate alla trasmissione transatlantica dei dati da un punto di vista giuridico, come ad esempio nel caso di un processo giudiziario. Infatti anche se i destinatari dei pacchetti di dati negli USA hanno la possibilità di autocertificarsi sulla base delle nuove normative dello scudo di protezione dei dati, questo non significa che sono immuni da eventuali condanne giudiziarie.

Perciò è lecito pensare che molte aziende decidano di non puntare sul Privacy Shield, rinunciando così alla trasmissione dati improntata sulla nuova risoluzione. Ad esempio un’alternativa sicura sarebbe l’implementazione delle clausole contrattuali tipo dell’Unione Europea. Tuttavia anche in questo caso la sicurezza assoluta del diritto non è garantita. L’autorità irlandese per la protezione dei dati ha già lasciato trapelare che anche tali linee guida necessitano di un controllo più preciso.

Sarà difficile che la discussione riguardo le normative del Privacy Shield venga risolta in breve tempo. Quelle aziende che speravano in un regolamento legale univoco e senza zone d’ombra possono solo attendere la verifica legale dell’accordo.

E se le aziende continuano a fare riferimento alle clausole di contratto tipo dell’Unione Europea per il trasferimento dei dati, non è detto che possano contare su di un grado di sicurezza maggiore rispetto a quello che era garantito dal Safe Harbor. Coloro che si occupano della tutela dei dati fanno notare come gli argomenti già venuti fuori in maniera chiara con il patto Safe Harbor siano presenti anche nell’attuale regolamento (che ricordiamo è stato dichiarato valido in base al diritto dell’Unione Europea), il che significa che con ogni probabilità anche il Privacy Shield non sarebbe in grado di sostenere una verifica legale accurata.

Conclusione

In breve: è possibile affermare che la trasmissione di dati personali dall’Europa agli USA da parte delle aziende rappresenterà un terreno scivoloso anche nel prossimo futuro, ci sono infatti diversi aspetti sui quali è ancora necessario fare chiarezza. Il trasferimento dei dati rimane quindi una zona grigia da un punto di vista giuridico, anche con il nuovo accordo. Alle aziende direttamente interessate è consigliato seguire gli sviluppi in materia di protezione dati. A inizio 2017, in corrispondenza dell’inizio della presidenza Trump, la Corte di giustizia dell’Unione Europea ha annunciato una verifica approfondita delle nuove regolamentazioni previste nel Privacy Shield.

Vi preghiamo di osservare la nota legale relativa a questo articolo.


Un attimo: abbiamo ancora qualcosa per voi!
Web hosting a partire da 1 €/mese per un anno!

Dominio gratis
Certificato SSL Wildcard incluso
Assistenza Clienti 24/7
A partire da 1 €/mese IVA escl. per un anno,
poi 8 € mese IVA escl.