Lo scorso 2 febbraio la Commissione europea ha annunciato di aver raggiunto un accordo politico con gli Stati Uniti in materia di protezione dei flussi transatlantici dei dati. Il nuovo “Privacy Shield”, così battezzato, subentra al “Safe Harbor”, il precedente accordo tra Unione europea e USA, invalidato nell’ottobre scorso dalla Corte europea di Giustizia dopo il ricorso presentato da Maximillian Shrems contro Facebook.
L’accordo è il primo step di una serie di passaggi necessari alla definizione di un testo definitivo, che sarà presentato pubblicamente non prima della fine di giugno 2016.
Il nuovo sistema relativo al trasferimento dei dati personali negli Stati Uniti ha come obiettivi principali la tutela dei diritti fondamentali dei cittadini europei, la cui protezione era vacillata nel precedente accordo del “Safe Harbor”, e la certezza giuridica per le imprese che operano oltreoceano.
I Commissari europei incaricati dal Collegio di predisporre i passaggi necessari per mettere in atto l’accordo, la Commissaria alla Giustizia Věra Jourová e il Commissario responsabile del Mercato Unico Digitale Andrus Ansip, si sono espressi favorevolmente per l’accordo raggiunto, sottolineando l’influenza che avrà per la creazione del Mercato Unico Digitale, oltre naturalmente per l’effettiva tutela dei diritti dei cittadini europei, garantita dall’accordo.
Nel comunicato stampa della Commissione europea sono stati presentati i principali punti di accordo, che andranno a incidere notevolmente sul rapporto tra Europa e Stati Uniti nell’ambito del trattamento dei dati personali. Per quanto riguarda gli obblighi di trattamento, il nuovo accordo dovrebbe prevedere un meccanismo di protezione dei dati più stringente rispetto al precedente. Si garantirebbe ai privati e alle aziende una maggiore certezza nel trattamento dei dati negli Stati Uniti da parte delle aziende, in conformità ai principi e alle norme europee sulla privacy. Inoltre, il Department of Commerce americano monitorerà sulla pubblicazione e sull’effettiva applicazione degli obblighi da parte delle aziende, così come sul rispetto delle decisioni delle Autorità garanti europee.
L’accordo dovrebbe prevedere tra l’altro obblighi più stringenti in ambito di trasparenza. Dovrebbero essere previsti limiti ben definiti in ordine all’accesso ai dati personali da parte delle autorità pubbliche statunitensi, garantendo condizioni chiare ed evitando accessi generalizzati. Per la prima volta gli Stati Uniti hanno assicurato che l’accesso ai dati per ragione di sicurezza nazionale sarà limitato da meccanismi di controllo ben definiti.
Infine, in tema di protezione dei diritti dei cittadini europei, il “Privacy Shield” dovrebbe prevedere una serie di possibilità di ricorsi contro l’illegittimo utilizzo dei dati personali. Una prima novità è la previsione di “deadlines” che le aziende dovranno rispettare per rispondere ai reclami presentati. Una seconda possibilità è il ricorso che le Autorità europee potranno presentare al Department of Commerce e al Federal Trade Commission e infine la nomina di un difensore civico (il cosiddetto “Ombudsperson”), a cui i cittadini europei si possono rivolgere nel caso sospettino che i propri dati personali siano stati utilizzati illegalmente dalle autorità di intelligence statunitensi.
Ora, dunque, si resta in attesa di una bozza di testo (un draft “adequacy decision” come definito dalla Commissione europea), che sarà predisposta dai due commissari incaricati e che dovrebbe essere pronta nei prossimi mesi, come dichiarato dalla Commissaria Věra Jourová. Il draft sarà poi sottoposto al parere del Gruppo di Lavoro Articolo 29, previa consultazione di un comitato composto da rappresentanti degli Stati membri e dell’EDPS (“European Data Protection Supervisor”). Solo successivamente sarà adottato dalla Commissione europea stessa.
La bozza del testo che sarà presentata dai Commissari incaricati dovrà passare quindi il vaglio di differenti organismi, che produrranno pareri e osservazioni necessarie alla predisposizione di un testo definitivo, sul quale la Commissione europea si pronuncerà.
Siamo dunque soltanto all’inizio dell’iter di approvazione del “Privacy Shield” e in attesa di vedere introdotto un nuovo meccanismo che regolamenterà il trattamento dei dati verso gli Stati Uniti, con l’obiettivo di tutelare realmente i diritti fondamentali dei cittadini europei.
* legale, Partners4innovation
** legale, Partners4innovation