Con l’accordo sul Privacy Shield “le imprese vedranno ripristinati meccanismi automatici di riconoscimento della ‘agibilità’ dell’ambiente americano rispetto al trattamento dei dati provenienti dall’Europa a cui erano abituate sin dal 2000. In tal modo, verranno semplificate le modalità di circolazione transnazionale dei dati tra Europa e Stati Uniti”. Lo dice l’avvocato Rocco Panetta, socio dello Studio legale Nctm e Segretario generale dell’Icf – Italian Compliance Forum, uno dei massimi esperti a livello internazionale sui temi di Internet, della privacy, della cybersecurity ed in generale della compliance.
L’accordo transcontinentale tra Europa e Stati Uniti sul trasferimento all’estero dei dati, il Privacy Shield, va a sostituire l’accordo del Safe Harbor, reso invalido da una sentenza della Corte di Giustizia Ue. Di cosa si tratta esattamente?
Sì, è stato raggiunto l’auspicato accordo politico tra Unione Europea e Stati Uniti d’America che impegna la nostra Commissione, da un lato, e il Department of Commerce e la Federal Trade Commission americana, dall’altro lato, a tradurre l’accordo in uno strumento utilizzabile da imprese e cittadini. Trovo curioso e creativo il nome che è stato dato all’accordo. Dal precedente e austero Safe Harbor, tradotto in italiano come Approdo Sicuro, si passa al technicolor Privacy Shield, ossia allo Scudo sulla Privacy, il quale già nel nome evoca scenari più avanzati, quasi da fantascienza, come nei supereroi della Marvel. In sostanza, il trasferimento all’estero dei dati dai Paesi dell’Ue verso gli Usa dovrebbe tornare a godere di uno strumento nuovo e flessibile, che ricalcherebbe tuttavia le features già note del precedente Safe Harbor, ma con una serie di elementi in più.
Quali elementi?
Occorre fare un passo indietro per chiarire il contesto in cui il Privacy Shield si inserisce. Come noto, trattare i dati personali al di fuori dell’Unione richiede grandi precauzioni pena l’illiceità del trattamento e dunque l’impossibilità di concludere una transazione, di utilizzare i social network, di effettuare pagamenti oltreoceano o inviare beni e fornire servizi negli Usa. Ciò deriva dal fatto che fuori dell’Ue non esiste, salvo sparute eccezioni, allo stato, un analogo regime di protezione dei dati personali, come quello vigente in Europa, che innalzi la protezione a diritto fondamentale dell’individuo. Negli Usa, in particolare, l’assenza di una legislazione quadro sulla circolazione dei dati e la possibilità data a tutti di usare i dati altrui per qualsiasi propria finalità, ivi incluse quelle di business, rende oltremodo insicuro quell’ambiente. Ora, questa prospettiva è in forte contraddizione, diciamolo chiaramente, con i grandi flussi di dati interscambiati tra Ue e Usa in ogni istante e ad ogni livello, il che è alla base dell’attuale equilibrio mondiale degli scambi commerciali, sociali e politici. Nel 2000 il Gruppo dei Garanti Europei guidato da Stefano Rodotà, all’epoca Presidente del Garante privacy italiano, in maniera lungimirante e saggia strinse un rivoluzionario accordo con gli Usa, definito appunto Safe Harbor, proprio per facilitare l’interscambio tra i due blocchi continentali e volto ad abbattere ogni frizione ed asperità alla libera circolazione delle informazioni. Quindici anni dopo, la Corte di Giustizia dell’UE ne ha però decretato la fine, a causa delle ripetute e provate inefficienze, principalmente lato Usa, nella effettiva protezione dei diritti degli individui una volta approdati, questi dati, nel territorio statunitense.
Quali sono a suo avviso le principali novità?
Tre i pilastri principali che meritano la nostra attenzione. Primo: il Privacy Shield, se confermato, introdurrà maggiori obblighi in capo alle aziende residenti negli Usa importatrici di dati personali di cittadini Ue. Per fare un esempio fra tutti: le imprese importatrici di dati dovranno conformarsi ai provvedimenti delle autorità sulla privacy europee in materia di tutela dei dati dei lavoratori. Secondo: per la prima volta le autorità statunitensi si sono obbligate a non perseguire azioni di sorveglianza di massa sui dati dei cittadini europei trattati dalle aziende americane per finalità di business o per altra finalità. Ed anche gli accessi da parte delle autorità Usa sulle relative banche dati saranno ridotti e proporzionati ad uno specifico fine. Le parti, al riguardo, metteranno in piedi meccanismi periodici di controllo. Terzo: viene finalmente implementata una tutela operativamente concreta dei diritti dei soggetti interessati al trasferimento negli Usa dei loro dati. Gettando finalmente luce su processi che finora erano rimasti avvolti dalle nebbie di un limbo senza regole certe. Viene anche creata per la prima volta una figura di un garante negli Usa circa il trattamento dei dati dei cittadini dell’Unione trasferiti in America – un c.d. Ombudsman.
Quali sono le principali conseguenze per cittadini ed imprese italiane?
Le imprese, in primis, vedranno ripristinati meccanismi automatici di riconoscimento della “agibilità” dell’ambiente americano rispetto al trattamento dei dati provenienti dall’Europa a cui erano abituate sin dal 2000. In tal modo, verranno ad essere semplificate le modalità di circolazione transnazionale dei dati tra Europa e Stati Uniti. Ovviamente resteranno pienamente validi i meccanismi alternativi al momento vigenti e non intaccati dalla sentenza della Corte di Giustizia dell’UE, quali le SCC – Standard Contractual Clauses, utili sopratutto laddove la circolazione extra Ue non sia limitata solo verso gli Usa. Analogamente le BCR – Binding Corporale Rules resteranno lo strumento migliore e con il più alto tasso di accountability per la circolazione infragruppo dei dati a livello worldwide. I cittadini europei, dal canto loro, che si troveranno ad esercitare i propri diritti di accesso e cancellazione dei propri dati trattati da aziende importatrici Usa sulla base del Privacy Shield avranno – forse – finalmente un alleato vero dalla propria parte.
Quindi secondo lei il Privacy Shield è un buon accordo. Ci saranno ripercussioni sull’iter di approvazione del Gdpr, il regolamento europeo sulla privacy?
Ovviamente parliamo di due sistemi che si sfiorano ma che non necessariamente debbono essere considerati interdipendenti. Lo scorso 15 dicembre le tre istituzioni dell’UE hanno raggiunto un accordo per la scrittura delle nuove norme sulla privacy che andranno a sostituire la vigente direttiva 95/46/CE e le relative norme nazionali di implementazione – tra cui il dlgs. 196/2003, Codice privacy – mediante l’adozione di un regolamento denominato GDPR. Questo processo, che non è al momento concluso, non è formalmente influenzato dall’accordo che sostituisce il Safe Harbor, considerato che il Privacy Shield disciplina solo una minima parte dei profili su cui la GDPR, una volta adottata, avrà invece un impatto, tanto dal lato dei cittadini, quanto dal lato delle imprese, della PA dei Paesi membri dell’Unione. Senz’altro l’accordo trovato sui trasferimenti all’estero dei dati è buona cosa e come tale potrà ben contribuire ad una nuova focalizzazione delle problematiche legate alla libera circolazione dei dati che nelle ultime settimane rischiavano di essere sacrificate sul piano in cui si gioca un’altra grande partita: quella della tenuta di Schengen. Non va infatti mai dimenticato che la libera circolazione dei dati è anzitutto un prerequisito per la libera circolazione delle merci e delle persone a livello europeo e nei diversi scambi extra UE. Se Schengen entra in crisi è l’idea di Europa che abbiamo fortemente perseguito con De Gasperi, Spinelli e Prodi a rischiare grosso e dunque anche le nuove norme sulla privacy potrebbero non vedere la luce. Anche per questo gli appelli continui del Presidente Renzi a ritrovare la strada maestra all’interno dell’Unione devono essere letti con grande favore e sostenuti in ogni modo.
