Protezione dei Dati Personali

Raggiunto l'accordo UE/USA nell'ambito del trasferimento dei dati personali: il nuovo "Scudo Privacy"

| 4 febbraio 2016


Ieri 2 febbraio 2016 rappresentanti delle autorità europee ed americane hanno annunciato il raggiungimento dell'accordo politico (cd. "Scudo Privacy"), che andrà a sostituire il cd. Approdo Sicuro ("Safe Harbor"), invalidato, dopo 15 anni di operatività, lo scorso 6 ottobre 2015 dalla Corte di Giustizia del Lussemburgo, con la sentenza n. C- 362/14 (caso M. Schrems/Data Protection Commissioner).
La Corte di Giustizia dell'Unione Europea ha infatti annullato la decisione della Commissione Europea n. 2000/520/CE del 26 luglio 2000 sul Safe Harbor, precisando che anche nei casi in cui esiste una decisione di adeguatezza della Commissione Europea, le autorità privacy nazionali di controllo, ove interpellate, devono mantenere piena autonomia ed indipendenza nel verificare se il trasferimento dei dati personali dall'UE verso un Paese extra UE rispetti le garanzie sulla protezione dei dati personali previsti in ambito comunitario.
La disciplina europea ed italiana sul trasferimento dei dati personali verso Paesi extra UE è estremamente restrittiva e prevede in particolare che detto trasferimento è consentito quando è autorizzato sulla base di adeguate garanzie per i diritti dell'interessato (Art. 44 del Codice per la protezione dei dati personali italiano).
L'accordo Safe Harbor era stato promosso su iniziativa del Dipartimento del Commercio americano ed aveva ottenuto una valutazione di adeguatezza della Commissione Europea, recepita dal Garante per la Protezione dei Dati Personali italiano il 10 ottobre 2001, che autorizzava il trasferimento dei dati personali dall'Italia verso gli Stati Uniti sulla base del Safe Harbor.
A seguito della sentenza Schrems, il Garante per la Protezione dei Dati Personali italiano, in linea con quanto concordato nell'ambito dell'Art. 29 Working Party dell'Unione Europea, aveva dichiarato decaduta l'autorizzazione emanata nel 2001 ed aveva stabilito che in attesa del raggiungimento di nuovi accordi UE/USA, le imprese potevano trasferire i dati personali verso gli Stati Uniti solo avvalendosi degli strumenti espressamente autorizzati, quali le clausole contrattuali standard approvate a livello comunitario, oppure le cd. binding corporate rules, regole di condotta infra-gruppo approvate secondo una procedura ad hoc.
Il nuovo accordo UE/USA, cd. Scudo Privacy ("Privacy Shield"), accoglie le richieste formulate dalla Corte di Giustizia nel caso Schrems, nel senso di assicurare che le società extra UE che importino dati personali dall'UE forniscano maggiori garanzie nel trattamento dei dati personali. A questi fini, lo Scudo Privacy rafforza gli strumenti di controllo nonché le procedure esecutive a tutela della privacy, incentivando la cooperazione tra le autorità privacy europee ed americane.
In particolare, il Privacy Shield, i cui dettagli verranno definiti nelle prossime settimane dal Vice-Presidente Ansip e dalla Commissaria UE alla Giustizia Jourovà, include:
(i) Stringenti obblighi in capo alle società americane che intendano importare dati personali dall'UE, incluso trattare i dati personali nel rispetto delle decisioni delle autorità privacy europee. Il Dipartimento del Commercio USA sarà poi incaricato di monitorare che le società interessate rendano pubblici i presidi a tutela della privacy posti in essere;
(ii) Chiare garanzie ed obblighi di trasparenza in termini di accesso ai dati da parte del Governo USA. Le autorità americane hanno assicurato che l'accesso ai dati sarà limitato, in conformità ai principi di necessità e proporzionalità. Saranno messi in piedi degli strumenti di controllo che assicurino il rispetto del nuovo accordo ed in particolare la Commissione Europea ed il Dipartimento del Commercio USA condurranno annualmente controlli, con la collaborazione di esperti americani e delle autorità privacy europee;
(iii) Effettiva protezione dei diritti dei cittadini europei, che potranno rivolgersi ad una pluralità di istituzioni ed istituti (le autorità privacy nazionali, il Dipartimento di Commercio USA, la Federal Trade Commission, Alternative Dispute Resolution, Ombudsperson ad hoc).
In attesa della "decisione di adeguamento" in fase di redazione dalle istituzioni comunitarie, le autorità americane si sono impegnate a mettere in piedi gli strumenti di controllo e garanzia previsti dal nuovo accordo.
Le società europee che trasferiscono i dati verso gli USA non potranno non tener conto di questo nuovo scenario e delle direttive che deriveranno dalla decisione europea di adeguamento.
Lo Scudo Privacy, anche grazie ai numerosi strumenti di monitoraggio introdotti ed alla collaborazione tra le autorità UE ed USA coinvolte, rappresenta un traguardo importante in tema di garanzia effettiva della protezione dei dati personali e preannuncia gli ulteriori cambiamenti – attualmente in bozza - del nuovo Regolamento Privacy Europeo.

Vetrina