Martedì 2 febbraio 2016 l’UE e gli Stati Uniti hanno raggiunto un accordo per il trasferimento dei dati negli USA, cd. “UE-USA Privacy Shield”.
Secondo le prime informazioni circolate, l’accordo dovrebbe risolvere le problematiche evidenziate dalla Corte di Giustizia dell’UE, rafforzando in primo luogo le tutele privacy in caso di accesso ai dati da parte delle autorità statunitensi. In allegato, un breve report sui principali contenuti dell’accordo.
Si tratta di un risultato molto importante: l'UE-USA Privacy Shield consentirà di ripristinare un meccanismo sicuro per il trasferimento dei dati negli Stati Uniti, restituendo alle imprese un quadro giuridico certo e favorendo la ripresa dei flussi di dati Europa-USA.
In particolare, il nuovo accordo prevede:
· obblighi stringenti per le imprese statunitensi che trattano dati personali dei cittadini europei. Il Dipartimento del Commercio statunitense verificherà che le imprese spieghino ai clienti/utenti il loro impegno in questo senso - che dovrà essere reso pubblico -, impegno che diventa un obbligo di legge verificabile dalla Federal Trade Commission americana. Inoltre, qualsiasi società che gestisce dati delle risorse umane in Europa dovrà impegnarsi a rispettare le decisioni delle Autorità della privacy europee;
· chiari obblighi e tutele di trasparenza in materia di accesso ai dati da parte del Governo americano: per la prima volta, gli Stati Uniti hanno fornito assicurazioni scritte all’UE relativamente all’accesso ai dati da parte delle autorità pubbliche per questioni di sicurezza nazionale. Tale accesso sarà soggetto a chiare limitazioni, garanzie e meccanismi di controllo. Queste eccezioni nell’accesso devono essere utilizzate solo nella misura necessaria e proporzionata. Gli Stati Uniti hanno escluso un’indiscriminata sorveglianza di massa dei dati personali trasferiti negli USA nel quadro del nuovo accordo;
· una protezione efficace dei diritti dei cittadini dell’UE con diverse possibilità di ricorso: ogni cittadino che ritiene violata la sua privacy nell’ambito del nuovo accordo avrà diverse possibilità di ricorso. Le imprese americane coinvolte hanno l’obbligo di rispondere alle contestazioni entro limiti di tempo certi. Idealmente i problemi dovrebbero essere risolti a questo livello, ma c’è la possibilità per i cittadini europei di rivolgersi alle Autorità nazionali per la tutela dei dati personali e da queste al Dipartimento del Commercio e alla Federal Trade Commission. Inoltre, sarà gratuita la risoluzione alternativa delle controversie. Se la questione riguarda in qualche modo le autorità di intelligence, a giudicarla sarà un Difensore Civico (ombudsman), una figura terza, indipendente, prevista ad hoc dal Privacy Shield.
Sempre il 2 febbraio 2016, il Collegio dei Commissari ha dato mandato al Vicepresidente al Mercato Unico digitale Ansip e al Commissario alla Giustizia Jourová di predisporre, nelle prossime settimane, le misure necessarie per mettere in atto il nuovo accordo, presentando una proposta di “decisione di adeguatezza” che miri a proteggere i diritti fondamentali dei cittadini europei i cui dati vengono trasferiti negli Stati Uniti e a garantire la certezza del diritto per le imprese.
Tale decisione dovrà poi essere adottata dal Collegio, previo parere del Gruppo ex articolo 29 e previa consultazione di un comitato composto da rappresentanti degli Stati membri.
Nel frattempo, gli Stati Uniti dovranno predisporre le nuove misure concordate nell’ambito del nuovo accordo, quali nuovi meccanismi di controllo e un nuovo Difensore Civico.
Il nuovo accordo dovrebbe entrare in vigore entro i prossimi 3 mesi.
Mercoledì 3 febbraio, in seduta plenaria, il Gruppo di Lavoro ex art. 29 ha esaminato l’UE-USA Privacy Shield.
il WP29 attende di ricevere i documenti per analizzare nel dettaglio le nuove disposizioni - ha fissato come deadline il 29 febbraio - e valutare se rispondono alle preoccupazioni sollevate dalla sentenza Safe Harbor. In tale circostanza, il WP29 analizzerà anche la solidità degli altri strumenti di trasferimento, che nelle more potranno essere utilizzati dalle imprese.
Il WP29 ha poi stabilito 4 garanzie fondamentali che dovrebbero essere assicurate nei flussi dei dati negli Stati Uniti e che riguardano principalmente l’attività di intelligence statunitense. In particolare, ad avviso del WP29::
1. il trattamento deve essere basato su regole chiare, precise e accessibili (ciascun cittadino dovrebbe essere ragionevolmente informato di ciò che potrebbe accadere ai propri dati);
2. devono essere dimostrate la necessità e la proporzionalità degli obiettivi legittimi perseguiti nella raccolta dei dati, soprattutto se vi si accede per motivi di sicurezza nazionale;
3. deve esistere un meccanismo di controllo indipendente, efficace e imparziale;
4. ciascun cittadino deve poter far ricorso in caso di violazione della privacy.
Il prossimo 8 febbraio, BusinessEurope incontrerà Ansip e Jourova sul nuovo accordo. Tutte le aziende interessate, possono inviarci i loro input e osservazioni entro venerdì 5 febbraio pv.