Dal primo agosto 2016, le imprese americane, che lo desiderino, possono utilizzare il meccanismo del Privacy Shield per trasferire dati personali dall’Unione europea agli Stati Uniti. Un centinaio di imprese, tra cui Microsoft e Salesforce, hanno già deciso di utilizzare questo meccanismo e molte altre lo faranno presto.
Il Privacy Shield sostituisce il vecchio protocollo Safe Harbor dichiarato invalido dalla Corte di Giustizia dell’Unione europea e, come il suo predecessore, costituisce un meccanismo semplice ed efficace per trasferire dati oltreoceano. Infatti, le imprese che aderiscono allo Shield possono trasferire dati personali negli USA senza restrizioni ulteriori rispetto ai trasferimenti intra-europei. Ciò in quanto lo Shield riconosce che le misure previste dallo stesso assicurano un livello adeguato di protezione dei dati trasferiti.
Nonostante alcuni ritengano che l’adozione del nuovo Privacy Shield non abbia fornito una risposta adeguata alle critiche già avanzate all’ormai superato Safe Harbor, si ritiene che lo Shield rafforzi considerevolmente le tutele previste per i cittadini europei proprio in quelle aree che sono state oggetto di critica sotto la vigenza del Safe Harbor. Esempio ne sono i nuovi meccanismi di enforcement, di risoluzione delle controversie e di revisione periodica dello Shield. Nel complesso, quindi, il Privacy Shield costituisce un notevole passo avanti rispetto al suo predecessore.
I principali miglioramenti apportati dal Privacy Shield sono riassunti di seguito.
Accesso ai dati da parte delle autorità americane sottoposto a precise limitazioni, garanzie e meccanismi di vigilanza: dopo lo scandalo che è seguito alle rivelazioni di Edward Snowden, una delle maggiori preoccupazioni rispetto al trasferimento di dati negli USA riguarda la possibilità di accesso ai dati su larga scala da parte dei servizi di intelligence statunitensi. Questa preoccupazione è stata anche alla base della decisione della Corte di Giustizia di invalidare il Safe Harbor.
In risposta a tale preoccupazione, il Privacy Shield contiene impegni precisi da parte delle autorità americane a non esercitare attività indiscriminate di sorveglianza di massa sui dati trasferiti negli Stati Uniti. Questi impegni vanno peraltro valutati alla luce delle riforme approvate negli Stati Uniti dopo il caso Snowden per porre fine al fenomeno della sorveglianza di massa “generalizzata” e “indiscriminata.” Lo USA Freedom Act e la Presidential Policy Directive on Signals Intelligence Activities hanno infatti introdotto specifiche limitazioni all’accesso a dati personali per ragioni di sicurezza nazionale e stabiliscono il principio secondo cui la raccolta di informazioni da parte dell’intelligence americana deve essere la più mirata possibile.
I cittadini europei avranno anche la possibilità di ricorrere ad un’autorità indipendente dai servizi di intelligence (Privacy Shield Ombudsperson) qualora abbiano ragione di ritenere che le autorità americane abbiano utilizzato i loro dati in maniera illegale per finalità di sicurezza nazionale.
Infine, le società aderenti al Privacy Shield potranno pubblicare rapporti periodici sulle richieste di accesso ricevute dalle autorità americane. Una possibilità che potrebbe fungere da serio deterrente agli accessi indiscriminati visto che molte multinazionali americane si stanno trasformando in paladini della privacy e probabilmente decideranno di pubblicare con regolarità il numero di richieste di accesso che ricevono.
Revisione annuale del Privacy Shield: una delle critiche mosse al Safe Harbor, in primis dalla Corte di Giustizia, riguardava l’assenza di un meccanismo di revisione periodica dell’adeguatezza della protezione offerta dallo stesso nonché dalla legislazione e dalla prassi in vigore negli Stati Uniti.
A tale critica si è risposto introducendo nel Privacy Shield un sistema di revisione annuale del funzionamento dell’accordo. Tale revisione verrà condotta avendo particolare riguardo agli impegni presi dagli Stati Uniti in materia di accesso ai dati per finalità di polizia e di sicurezza nazionale, con il coinvolgimento di ONG e di altri soggetti privati interessati. È quindi evidente che qualora si dovessero riscontrare ulteriori episodi di sorveglianza di massa indiscriminata, il Privacy Shield verrebbe immediatamente sospeso o rimosso.
Meccanismi di controllo e di accertamento delle violazioni rafforzati: contrariamente al regime del Safe Habor, le imprese aderenti al Privacy Shield avranno l’obbligo di autocertificare su base annuale il rispetto degli impegni assunti aderendo allo Shield. Esse saranno inoltre sottoposte a verifiche periodiche da parte del Department of Commerce e dalla Federal Trade Commission, i quali si sono impegnati a cooperare con le autorità europee competenti e ad assumere personale da utilizzare per l’assolvimento dei propri obblighi di vigilanza.
Inoltre, i cittadini europei che ritengano che i propri diritti siano stati violati da parte di un’impresa aderente allo schema avranno a disposizione una pluralità di strumenti di tutela quali: rivolgersi direttamente all’impresa interessata (la quale dovrà rispondere al reclamo entro 45 giorni), rivolgersi alle autorità garanti della privacy del proprio paese, utilizzare un meccanismo di risoluzione alternativa delle controversie (ADR) gratuito, oppure – come extrema ratio – fare ricorso ad un collegio arbitrale appositamente creato dallo Shield, le cui decisioni sono vincolanti.
Le sanzioni previste per la violazione dei principi del Privacy Shield includono la pubblicazione degli accertamenti di non conformità, la sospensione o il ritiro del “marchio di conformità”, l’indennizzo delle parti lese, e la rimozione del trasgressore dal registro delle imprese aderenti allo Shield. La gravità di quest’ultima sanzione non è da sottovalutare dato che per molte aziende potrebbe rappresentare uno stigma idoneo a limitare significativamente la possibilità di operare in Europa.
Maggiore trasparenza: le imprese aderenti al Privacy Shield avranno l’obbligo di pubblicare sul proprio sito internet un’informativa in cui dovranno informare gli interessati riguardo alle finalità per cui utilizzano e trasferiscono dati personali, al diritto di accedere ai propri dati, alla possibilità di ricorrere all’arbitrato vincolante previsto dallo Shield, alla possibilità che i dati raccolti vangano comunicati alle autorità americane su loro specifica richiesta, e alla responsabilità dell’impresa aderente in caso di successivo trasferimento dei dati a terzi.
Un tale livello di trasparenza, sconosciuto sotto la vigenza del Safe Harbor, permetterà agli interessati di esercitare il diritto di opporsi al trattamento dei propri dati per scopi sostanzialmente diversi rispetto a quelli per cui i dati sono stati originariamente raccolti o per i quali si è dato il consenso.
Alla luce di quanto esposto, si ritiene che il Privacy Shield introduca strumenti idonei a rafforzare le tutele previste dal precedente Safe Harbor. Tuttavia, sarà solo l’attuazione pratica dell’accordo da entrambe le parti dell’Atlantico a rivelare se le modifiche apportate al vecchio sistema siano sufficienti ad assicurare che i dati trasferiti oltreoceano godano di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione europea.
