EU – US Privacy Shield: riprende lo scambio di dati tra Europa e Stati Uniti

Scritto da Francesco Saverio Cavaceppi

La sentenza del 6 ottobre 2015 sulla causa C-362/14 della Corte di Giustizia Europea ha invalidato la Decisione della Commissione 2000/520 relativa all’accordo sul trasferimento dei dati tra EU e USA, denominato Safe Harbour, provocando notevoli ripercussioni per gli operatori economici, sia americani che europei, e gli utenti finali.

Tale accordo consentiva alle imprese con sede negli USA, ed in generale a chiunque vi aderisse, di trattare e conservare i dati dei cittadini europei.

L’adesione al programma era volontaria e si basava su un’autocertificazione effettuata dalle aziende stesse con la quale queste si impegnavano a rispettare sette principi nel trattamento dei dati: avvertimento dell’utente prima del trattamento; possibilità di rifiuto della raccolta dei dati; trasferimento delle informazioni solamente tra enti che rispettavano i principi del Safe Harbour; precauzioni per la protezione dei dati; raccolta dei soli dati rilevanti per la finalità del trattamento; possibilità per l’utente di correggere, integrare o cancellare i propri dati; sanzioni per l’inosservanza.

Questi principi di protezione erano ritenuti adeguati, salvo verifiche da effettuarsi caso per caso, dai Garanti per la Privacy dei diversi stati membri dell’EU fino alla suindicata sentenza.

La Corte Europea, infatti, invalidava la Decisione della Commissione poiché questa limitava il potere di controllo delle Autorità Nazionali in caso di trasferimento di dati da uno Stato membro a un Paese terzo in cui le leggi e gli usi presenti non assicuravano un adeguato livello di protezione.

Sulla base di queste riflessioni l’Articolo 29 Working Party, che riunisce le Autorità garanti per la privacy dei diversi Stati membri, precisava che i trasferimenti transatlantici di dati personali erano da ritenersi “illegali”.

Considerata la portata della decisione e le possibili conseguenze che questa poteva generare nei rapporti tra i due continenti, iniziavano immediatamente i contatti tra gli organismi europei e quelli americani in modo da garantire la continuità del trasferimento dei dati da e verso gli USA, assicurando al contempo anche un livello di protezione adeguato e conforme alla legge.

Le conseguenze del crollo del Safe Harbour non si sono fatte attendere. I singoli Garanti hanno revocato le autorizzazioni verso i Paesi interessati, favorendo così l’introduzione da parte delle imprese Usa di clausole contrattuali sulla falsariga di quelle presenti nei contratti conclusi tra gli utenti e le imprese residenti in Europa.

Ma questo “tampone” non sempre è stato sufficiente: la repentina interruzione della legittimità del trasferimento ha comportato un profondo smarrimento degli operatori europei, i quali non potevano in breve tempo spostare intere infrastrutture da fornitori e server collocati negli USA a fornitori e server collocati in Europa.

Per evitare ulteriori disagi e danni economici agli operatori di entrambi i continenti, il 2 febbraio scorso la Commissione Europea e le autorità americane sono addivenute ad una bozza di accordo che dovrebbe consentire la sottoscrizione di un Safe Harbour 2.0 (EU – US Privacy Shield) in tempi brevi.

I tratti salienti del nuovo framework saranno i seguenti:

- Il Dipartimento per il Commercio degli Stati Uniti verificherà che le aziende dichiarino pubblicamente le modalità di tutela dei dati e gli impegni che si ripromettono di rispettare, sotto la sorveglianza della Federal Trade Commission;

- L’accesso da parte delle autorità di polizia ai dati dei cittadini europei avviene solo se necessario e in maniera proporzionata, con verifica annuale del Dipartimento del Commercio americano e la Commissione Europea;

- Risposte entro tempi certi alle contestazioni provenienti dagli interessati, con sistema alternativo di risoluzione delle dispute gratuito.

Inoltre il WP art. 29 ha sottolineato che, sulla base della giurisprudenza europea, le garanzie che devono essere fornite sono: regole chiare riguardo il trattamento, necessità e proporzionalità riguardo ai legittimi obiettivi perseguiti, meccanismo di controllo indipendente e imparziale, mezzi di tutela per il singolo.

I vari Commissari europei coinvolti nella vicenda hanno confermato che buona parte di questi principi sono stati già incorporati nell’ EU – US Privacy Shield, con probabile ratifica finale dell’accordo che potrebbe avvenire in tempi brevi così da ripristinare lo scambio di dati tra Europa e Stati Uniti in modo legittimo, condizione indispensabile per gli operatori economici e per gli utenti finali.