Tutto è pronto ormai. Porta la data del 29 febbraio scorso il comunicato con cui la Commissione Europea presenta i punti principali del tanto dibattuto EU-US Privacy Shield, il nuovo meccanismo che consentirà i trasferimenti dei dati personali dall’Unione Europea agli USA.
Una svolta importante per cittadini ed imprese europee che godranno di maggiori garanzie e tutele sul fronte della circolazione dei dati su suolo americano. Lo “Scudo privacy” introduce infatti importanti meccanismi di vigilanza e di controllo, concepiti come veri e propri “impegni vincolanti” più che come le mere “autocertificazioni” del Safe Harbor. Basti pensare al “Notice Principle” secondo il quale le imprese avranno l’obbligo di informare gli interessati in merito ai principali elementi connessi al trattamento dei loro dati personali, al “Choice Principle”, ovvero la possibilità di opporsi alla divulgazione de propri dati personali ad una terza parte differente da un soggetto che agisca per conto dell’azienda – o autorizzato dalla medesima – e al “Data Integrity and Purpose Limitation Principle” che vincola ad un utilizzo dei dati, esatti ed aggiornati, in linea con le finalità espresse. Giusto per citare alcuni dei principi cardine.
Il concetto di riservatezza chiama inevitabilmente in causa quello di sicurezza. Lo stesso Privacy Shield affronta questo binomio, ormai indissolubile, andando ad individuare concetti vincolanti per le imprese tra cui il “Security Principle”, che impone alle aziende, che trattano dati personali, la predisposizione di misure di sicurezza idonee e determina norme specifiche anche per i cosiddetti “sub-contractors”.
Sul fronte delle sanzioni, sebbene non ne sia stata ancora specificata l’entità, quel che è certo è la loro rigorosità, confermata dalla pubblicità dei casi di non conformità e dalla rimozione o sospensione di “privacy seal” assegnati. Merita poi una particolare menzione la figura chiamata ”indipendent dispute resolution body” a cui spetterà l’imposizione di sanzioni e rimedi.
La svolta del Privacy Shield si introduce nell’epocale rivoluzione del quadro normativo in atto, che pone la tutela dei dati personali in una posizione di assoluto rilievo tra le garanzie offerte ai cittadini ed alle imprese.
A farsi portavoce, confermando tale intento, il nuovo Regolamento Europeo sulla Data Protection. L’accordo EU-USA dovrà di fatto integrarsi, in maniera armonica e strutturata, con il nuovo assetto giuridico della GDPR nell’ottica di favorire il mercato globale, evitando limiti eccessivamente stringenti per le aziende.
Nell’attesa che lo Scudo Privacy e il nuovo Regolamento Europeo entrino appieno in vigore, le imprese che trattano dati in America – come ha ricordato l’Article 29 Data Protection Working Party – possono far riferimento a meccanismi alternativi per il trasferimento dei dati personali. In particolare, Clausole Contrattuali Standard e Binding Corporate Rules individuate nella Direttiva 95/46/CE; quest’ultime riprese anche nel testo del GDPR in fase di approvazione.