Il Privacy Shield, (“scudo per la privacy”) è l’accordo, in vigore dal 1° agosto del 2016 tra Unione europea e USA, che regolamenta il trasferimento di dati personali a scopo commerciale, in sostituzione del precedente accordo, denominato “Safe Harbour”, invalidato dalla Corte di Giustizia dell’UE.
Questo accordo protegge i diritti fondamentali delle persone nell´UE i cui dati personali vengano trasferiti negli Stati Uniti, e stabilisce regole certe per le imprese che effettuano trasferimenti di dati al di là dell´Atlantico.
In particolare, le società stabilite negli USA si impegnano a rispettare i principi in esso contenuti e a fornire a tutti gli interessati – persone fisiche i cui dati personali siano stati trasferiti dall’Unione europea indipendentemente dalla loro cittadinanza – adeguati strumenti di tutela, pena l’eliminazione dalla lista delle società certificate (cd. Privacy Shield List) da parte del Dipartimento del Commercio statunitense e possibili sanzioni da parte della Federal Trade Commission (Commissione federale per il commercio), come anche l’esclusione dai benefici riconosciuti dall’accordo a coloro che non ne rispettano le indicazioni.
Le Autorità americane sono infatti tenute a vigilare ed assicurare il rispetto di tale accordo ed a collaborare con le Autorità europee per la protezione dei dati.
Lo Scudo UE-USA è applicabile a tutte le categorie di dati personali trasferiti dall’UE agli Stati Uniti, compresi informazioni commerciali, dati sanitari o relativi alle risorse umane, purché la società USA destinataria di tali dati abbia autocertificato la propria adesione allo schema (accordo).
Nel settore commerciale le imprese, al fine di garantire una maggiore trasparenza, devonopresentare una autocertificazione su base annuale degli obblighi onorati e devono pubblicare sul proprio sito web una privacy policy (informativa privacy).
Sono sottoposte, a tal uopo, a periodici controlli di accertamento della conformità allo scudo e sono tenute a collaborare con le Autorità europee per la protezione dei dati e dare seguito alle loro richieste. Devono inoltre attenersi ad obblighi stringenti, in particolare in riferimento al trasferimento dei dati a ulteriori destinatari.
Lo Shield contiene precise garanzie e tra le novità significative vi è la limitazione all’accesso ai dati personali da parte delle autorità pubbliche americane con l’adozione di meccanismi di controllo specifici e definiti a tale scopo.
Invero, il funzionamento dello scudo ed il rispetto degli impegni assunti dagli USA, anche con riguardo all’accesso ai dati per finalità di polizia e giustizia o di sicurezza nazionale è periodicamente monitorato e sottoposto ad una revisione annuale condotta dalla Commissione europea e dal Department of Commerce con il coinvolgimento di esperti dei servizi di sicurezza americani e delle Autorità europee per la protezione dei dati.
L’amministrazione americana con questo accordo ha assunto formalmente degli impegni, escludendo espressamente attività di sorveglianza indiscriminata o massiva.
La raccolta di dati in blocco sarà possibile solo in presenza di determinati presupposti e qualora sussistono motivi di legge o ragioni di sicurezza nazionale, l’accesso ai dati da parte delle autorità governative sarà comunque soggetto a chiare limitazioni, garanzie e meccanismi di sorveglianza.
Con riferimento agli interessati, questi hanno diritto di essere informati sul trasferimento dei propri dati e possono altresì esercitare il diritto di accesso, chiedendo la rettifica o la cancellazione dei dati personali trasferiti. Inoltre, è possibile verificare se una società stabilita negli USA sia certificata consultando l’elenco disponibile online (denominato Privacy Shield List).
Ancora, l’accordo offre agli interessati garanzie giuridiche e strumenti di tutela. È stata infatti introdotta la figura del “difensore civico” (cd. Ombudsperson) che è un soggetto indipendente mediatore incaricato di ricevere e decidere sui reclami presentati.
L’interessato, in caso di questione legate al trattamento dei suoi dati personali, potrà intraprendere diverse azioni per far valere i propri diritti. Nello specifico:
– rivolgersi direttamente all’impresa, la quale dovrà replicare entro 45 giorni;
– utilizzare un meccanismo gratuito di risoluzione alternativa delle controversie (cd. ADR);
– rivolgersi all’Autorità garante della privacy, che collaborerà con il Department of Commerce e la Federal Trade Commission degli USA per garantire accertamenti sui reclami ancora pendenti presentati da cittadini UE e giungere rapidamente alla loro definizione;
– rivolgersi al Privacy Shield Panel, ovvero il Collegio arbitrale del Privacy Shield, per ottenere, se nessun’altra soluzione si è rivelata praticabile, una decisione esecutiva attraverso un meccanismo di arbitrato.
Generalmente il modello per i reclami (il cui impiego è facoltativo) è un documento standard messo a punto dalle Autorità UE ed è utilizzabile in tutta l’Unione, facilmente reperibile sui siti web dei garanti europei.
Concludendo, in linea con il GDPR, ovvero la nota normativa europea in materia di protezione dei dati personali, gli Stati Uniti si avvicinano ad un modello privacy più stringente. E per quanto la gestione di enormi flussi transatlantici di dati (si pensi alle grandi aziende come Facebook, Google, Amazon, etc.) si presenti talvolta complessa, si auspica ad una cooperazione costante e duratura nel tempo, in vista di un obiettivo comune.
VP
