TUTELA DEI DATI PERSONALI
Unione Europea: nuovo accordo sul flusso di dati transatlantici UE-USA (Privacy Shield) in sostituzione dell'accordo Safe Harbor.
Il 2 febbraio 2016 la Commissione europea e gli Stati Uniti hanno raggiunto un accordo per il trasferimento transatlantico dei dati, chiamato “UE-USA Privacy Shield”. Secondo quanto dichiarato dalla Commissione, l’accordo riflette i requisiti stabiliti dalla Corte di giustizia dell’UE nella sentenza del 6 ottobre 2015 e sarà oggetto di monitoraggio e adeguamento periodici da parte della Commissione europea e del Dipartimento del Commercio americano. In tale attività di revisione saranno coinvolti esperti di intelligence provenienti dagli Stati Uniti e le Autorità europee per la protezione dei dati personali.
In particolare, il nuovo accordo prevede:
Tale decisione dovrà poi essere adottata dal Collegio, previo parere del Gruppo ex articolo 29 e previa consultazione di un comitato composto da rappresentanti degli Stati membri.
Nel frattempo, gli Stati Uniti dovranno predisporre le nuove misure concordate nell’ambito del nuovo accordo, quali nuovi meccanismi di controllo e un nuovo Difensore Civico.
Il nuovo accordo dovrebbe entrare in vigore entro i prossimi 3 mesi.
Intanto, il Gruppo di Lavoro ex art. 29 ha discusso il 15 Febbraio 2016 circa le conseguenze della sentenza Safe Harbor, accogliendo positivamente la conclusione dei negoziati tra l’UE e gli Stati Uniti.
Il WP29 attende di ricevere i documenti per analizzare nel dettaglio le nuove disposizioni ed ha fissato come deadline il 29 febbraio 2016 per valutare se i nuovi accordi rispondono alle preoccupazioni sollevate dalla sentenza Safe Harbor. In tale circostanza, il WP29 analizzerà anche la solidità degli altri strumenti di trasferimento, che nelle more potranno essere utilizzati dalle imprese.
Il WP29 ha poi stabilito 4 garanzie fondamentali che dovrebbero essere assicurate nei flussi dei dati negli Stati Uniti e che riguardano principalmente l’attività di intelligence statunitense. In particolare, ad avviso del WP29:
1. il trattamento deve essere basato su regole chiare, precise e accessibili (ciascun cittadino dovrebbe essere ragionevolmente informato di ciò che potrebbe accadere ai propri dati);
2. devono essere dimostrate la necessità e la proporzionalità degli obiettivi legittimi perseguiti nella raccolta dei dati, soprattutto se vi si accede per motivi di sicurezza nazionale;
3. deve esistere un meccanismo di controllo indipendente, efficace e imparziale;
4. ciascun cittadino deve poter far ricorso in caso di violazione della privacy.
In particolare, il nuovo accordo prevede:
- obblighi stringenti per le imprese statunitensi che trattano dati personali dei cittadini europei. Il Dipartimento del Commercio statunitense verificherà che le imprese spieghino ai clienti/utenti il loro impegno in questo senso - che dovrà essere reso pubblico -, impegno che diventa un obbligo di legge verificabile dalla Federal Trade Commission americana. Inoltre, qualsiasi società che gestisce dati delle risorse umane in Europa dovrà impegnarsi a rispettare le decisioni delle Autorità della privacy europee;
- chiari obblighi e tutele di trasparenza in materia di accesso ai dati da parte del Governo americano: per la prima volta, gli Stati Uniti hanno fornito assicurazioni scritte all’UE relativamente all’accesso ai dati da parte delle autorità pubbliche per questioni di sicurezza nazionale. Tale accesso sarà soggetto a chiare limitazioni, garanzie e meccanismi di controllo. Queste eccezioni nell’accesso devono essere utilizzate solo nella misura necessaria e proporzionata. Gli Stati Uniti hanno escluso un’indiscriminata sorveglianza di massa dei dati personali trasferiti negli USA nel quadro del nuovo accordo;
- una protezione efficace dei diritti dei cittadini dell’UE con diverse possibilità di ricorso: ogni cittadino che ritiene violata la sua privacy nell’ambito del nuovo accordo avrà diverse possibilità di ricorso. Le imprese americane coinvolte hanno l’obbligo di rispondere alle contestazioni entro limiti di tempo certi. Idealmente i problemi dovrebbero essere risolti a questo livello, ma c’è la possibilità per i cittadini europei di rivolgersi alle Autorità nazionali per la tutela dei dati personali e da queste al Dipartimento del Commercio e alla Federal Trade Commission. Inoltre, sarà gratuita la risoluzione alternativa delle controversie. Se la questione riguarda in qualche modo le autorità di intelligence, a giudicarla sarà un Difensore Civico (ombudsman), una figura terza, indipendente, prevista ad hoc dal Privacy Shield.
Tale decisione dovrà poi essere adottata dal Collegio, previo parere del Gruppo ex articolo 29 e previa consultazione di un comitato composto da rappresentanti degli Stati membri.
Nel frattempo, gli Stati Uniti dovranno predisporre le nuove misure concordate nell’ambito del nuovo accordo, quali nuovi meccanismi di controllo e un nuovo Difensore Civico.
Il nuovo accordo dovrebbe entrare in vigore entro i prossimi 3 mesi.
Intanto, il Gruppo di Lavoro ex art. 29 ha discusso il 15 Febbraio 2016 circa le conseguenze della sentenza Safe Harbor, accogliendo positivamente la conclusione dei negoziati tra l’UE e gli Stati Uniti.
Il WP29 attende di ricevere i documenti per analizzare nel dettaglio le nuove disposizioni ed ha fissato come deadline il 29 febbraio 2016 per valutare se i nuovi accordi rispondono alle preoccupazioni sollevate dalla sentenza Safe Harbor. In tale circostanza, il WP29 analizzerà anche la solidità degli altri strumenti di trasferimento, che nelle more potranno essere utilizzati dalle imprese.
Il WP29 ha poi stabilito 4 garanzie fondamentali che dovrebbero essere assicurate nei flussi dei dati negli Stati Uniti e che riguardano principalmente l’attività di intelligence statunitense. In particolare, ad avviso del WP29:
1. il trattamento deve essere basato su regole chiare, precise e accessibili (ciascun cittadino dovrebbe essere ragionevolmente informato di ciò che potrebbe accadere ai propri dati);
2. devono essere dimostrate la necessità e la proporzionalità degli obiettivi legittimi perseguiti nella raccolta dei dati, soprattutto se vi si accede per motivi di sicurezza nazionale;
3. deve esistere un meccanismo di controllo indipendente, efficace e imparziale;
4. ciascun cittadino deve poter far ricorso in caso di violazione della privacy.
