Europa e Stati Uniti devono trovare un nuovo “privacy shield” e dovrà essere in linea con le tutele del Gdpr. La commissaria europea alla Giustizia Vera Jourova ha dichiarato al Financial Times che che gli Stati Uniti dovrebbero adottare una legge sulla protezione dei dati personali che rispecchi le norme dell’Ue sulla data protection in vigore dall’anno scorso. Una legge sulla privacy americana in linea con quella dell’Unione europea renderebbe gli Stati Uniti il “perfetto partner commerciale” per l’Europa, visto che le aziende con sedi negli Usa e nell’Ue potrebbero liberamente e in modo sicuro scambiare dati personali.
Usa e Ue hanno siglato negli scorsi anni due accordi sullo scambio transatlantico dei dati, prima il Safe Harbor e poi il Privacy Shield, di cui l’Europa ha però lamentato una non completa implementazione da parte degli Stati Uniti. La Jourova esorta ora l’amministrazione Trump a impegnarsi più seriamente sulla protezione dei dati personali e ad adottare una normativa equivalente al Gdpr.
Tale mossa, sottolinea il FT, preluderebbe a colloqui fra Bruxelles e Washington volti a delineare un quadro normativo transatlantico che consenta la condivisione e il trasferimento di dati nell’ambito di attività economiche tramite un cosiddetto “adequacy deal” (“decisione di adeguatezza”). L’Europa ha pochi di questi trattati già in essere; tra questi il più recente e significativo è quello siglato a gennaio col Giappone.
Negli Usa non esiste al momento una normativa sulla privacy che rispecchia le tutele fornite dal Gdpr in Europa, ma la California ha fatto scuola con la legge statale sulla protezione dei dati, la più severa negli Stati Uniti. Intanto il Congresso e l’amministrazione federale stanno valutando un inasprimento delle regole dopo lo scandalo Facebook-Cambridge Analytica. Proprio Mark Zuckerberg di Facebook è tra i principali sostenitori di un nuovo impianto normativo sulla privacy in stile Gdpr; anche il ceo di Apple Tim Cook di Apple si è detto a favore. Altri gruppi hitech, come Google, hanno espresso critiche nei confronti di regole così severe.
La Jourova pensa dunque che è improbabile che gli Usa facciano un “copia e incolla” del regolamento europeo sulla privacy, che dal punto di vista degli Stati Uniti impone troppi oneri e tanta burocrazia soprattutto alle piccole imprese. Tuttavia la Commissione europea gradirebbe una normativa americana su scala federale, che introdurrebbe maggiori tutele per la privacy digitale. “Adesso vediamo un approccio settoriale, frammentato e a volte un po’ confuso per noi”, ha detto la Jourova.
Una decisione di adeguatezza come quella raggiunta col Giappone, ha proseguito la commissaria, permetterebbe alle imprese Usa di trasferire liberamente i dati dei cittadini Ue in America, con grandi benefici per entrambe le parti. “Col Giappone abbiamo visto tutti i vantaggi della creazione di una zona sicura per lo scambio dei dati. Gli Stati Uniti dovrebbero capirlo“, perché fa bene al business e la protezione della privacy à anche “un fattore di vantaggio competitivo”.
L’adequacy deal col Giappone, si legge nella nota ufficiale emanata a gennaio dalla Commissione europea, “permette la libera circolazione dei dati personali tra le due economie sulla base di solide garanzie di protezione”. La decisione include un insieme di norme (norme integrative) che colmerà i divari tra i due sistemi di protezione dei dati. Queste garanzie aggiuntive rafforzeranno, ad esempio, la protezione dei dati sensibili, l’esercizio dei diritti individuali e le condizioni alle quali i dati dell’Ue possono essere successivamente trasferiti dal Giappone verso un altro paese terzo. Le norme integrative saranno vincolanti per le imprese giapponesi che importano dati dall’Ue e potranno essere fatte valere dall’autorità giapponese indipendente per la protezione dei dati e dalle autorità giurisdizionali giapponesi.
La decisione di adeguatezza col Giappone prevede anche garanzie relative all’accesso da parte delle autorità pubbliche giapponesi a fini di contrasto penale e sicurezza nazionale, garantendo che qualsiasi utilizzo dei dati personali a tali fini dovrà limitarsi a quanto necessario e proporzionato e sarà soggetto a un controllo indipendente e ad efficaci meccanismi di ricorso. Nell’accordo è compreso un meccanismo di gestione dei reclami per l’esame e la risoluzione dei reclami proposti dai cittadini europei riguardo all’accesso delle autorità pubbliche giapponesi ai dati che li riguardano. Il nuovo meccanismo è gestito e controllato dall’autorità giapponese indipendente per la protezione dei dati.