A seguito dell’accordo tra Stati Uniti e Commissione europea sul nuovo meccanismo che regolerà i
trasferimenti di dati personali dall’Unione europea agli Stati Uniti, in sostituzione del Safe Habor,
annunciato lo scorso 2 febbraio 2016, cd. “Privacy Shield” (su cui si veda la nostra newsletter del mese di
febbraio 2016), il 29 febbraio 2016 la Commissione europea ha pubblicato le proposte di testi giuridici che
compongono il nuovo accordo, ossia:
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
DigitalMedia.Info- APPROFONDIMENTO: Trasferimenti di dati in usa pubblicati i testi giuridici del privacy shield
1. Via Rasella, 155 - 00187 Roma Via dell’Orso, 2 - 20121 Milano
Tel +39 06 696661 Fax +39 06 69666544 Tel +39 02 722341 Fax +39 02 72234545
TRASFERIMENTI DI DATI IN USA:
PUBBLICATI I TESTI GIURIDICI DEL “PRIVACY SHIELD”
Federica De Santis e Laura Liguori
A seguito dell’accordo tra Stati Uniti e Commissione europea sul nuovo meccanismo che regolerà i
trasferimenti di dati personali dall’Unione europea agli Stati Uniti, in sostituzione del Safe Habor,
annunciato lo scorso 2 febbraio 2016, cd. “Privacy Shield” (su cui si veda la nostra newsletter del mese di
febbraio 2016), il 29 febbraio 2016 la Commissione europea ha pubblicato le proposte di testi giuridici che
compongono il nuovo accordo, ossia:
(i) una bozza di “decisione della Commissione sull’adeguatezza della protezione dei dati in base all’EU-US
Privacy Shield”;
(ii) i principi che le imprese statunitensi saranno tenute a rispettare nell’ambito dell’accordo;
(iii) impegni scritti del governo degli Stati Uniti sull’applicazione dell’accordo, con particolare riguardo al
rispetto delle garanzie e delle limitazioni in materia di accesso ai dati da parte delle autorità pubbliche di
sicurezza.
La Commissione europea ha pubblicato anche una comunicazione che illustra le azioni adottate negli ultimi
anni per ripristinare la fiducia nei flussi transatlantici di dati personali (tra cui la riforma della normativa
privacy europea e il nuovo accordo quadro (cd. Umbrella Agreement) tra Unione europea e Stati Uniti sulla
cooperazione e sul trasferimento dei dati tra le forze di polizia degli Stati membri dell’Unione europea e
degli Stati Uniti).
Tra le previsioni del nuovo accordo, si segnala:
maggiori obblighi sulle società statunitensi ed enforcement rafforzato: il nuovo accordo
comprende meccanismi di vigilanza e la previsione di sanzioni o dell’esclusione dal “Privacy Shield”
in caso di violazione degli obblighi. Le nuove regole prevedono anche condizioni più rigorose per i
trasferimenti successivi a terzi, tra cui l’obbligo di fornire al Dipartimento del Commercio degli Stati
Uniti d’America, su richiesta, una copia delle clausole sulla protezione dei dati incluse nel contratto
tra la società che aderisce al “Privacy Shield” e il terzo a cui i dati sono trasferiti;
garanzie e obblighi di trasparenza rispetto all’accesso ai dati da parte del Governo degli Stati
Uniti: gli Stati Uniti hanno fornito all’UE garanzie scritte, attraverso l’Ufficio del Direttore
dell’intelligence nazionale, sulla circostanza che l’accesso delle autorità pubbliche a fini di sicurezza
nazionale sarà soggetto a precisi limiti, garanzie e meccanismi di controllo, e sarà impedito
l'accesso generalizzato ai dati personali. In particolare, in caso di accesso ai dati da parte delle
autorità di intelligence è prevista la possibilità di ricorso ad un nuovo organismo (Ombudsperson)
all’interno del Dipartimento di Stato, che sarà indipendente dai servizi di sicurezza nazionali. Gli
impegni scritti del Governo saranno pubblicati nel U.S. Federal Register. Dai testi pubblicati sembra
che le garanzie in questione si applichino a tutti i dati personali trasferiti negli Stati Uniti, anche
attraverso meccanismi diversi dal “Privacy Shield”, come le clausole contrattuali standard
2. 2/2
approvate dalla Commissione europea (standard contractual clauses) e le Binding Corporate Rules
(BCR);
protezione effettiva dei diritti dei cittadini dell'UE con diverse possibilità di ricorso: i reclami
presentati dai cittadini dell’UE dovranno essere gestiti dalle società che aderiscono al “Privacy
Shield” entro 45 giorni. Inoltre, i cittadini UE avranno accesso a meccanismi di composizione
extragiudiziale gratuita delle controversie (alternative dispute resolution) e potranno rivolgersi alle
loro autorità nazionali di protezione dei dati, che collaboreranno con la Commissione federale per il
commercio degli Stati Uniti (Federal Trade Commission) per assicurare che tutti i reclami vengano
esaminati e risolti. Qualora una controversia non possa essere risolta mediante questi strumenti, si
potrà far ricorso, in ultima istanza, ad un meccanismo di arbitrato, la cui decisione sarà esecutiva.
Inoltre, le società possono impegnarsi a rispettare il parere delle autorità di protezione dei dati
dell’UE (questa disposizione è obbligatoria per le società che trattino dati personali relativi alle
risorse umane);
meccanismo annuale di riesame congiunto: il meccanismo consentirà di monitorare il
funzionamento del “Privacy Shield”, compresi gli impegni e le garanzie relative all'accesso ai dati a
fini di contrasto della criminalità e finalità di sicurezza nazionale. La Commissione europea e il
Dipartimento del Commercio degli Stati Uniti d’America procederanno al riesame, e inviteranno
esperti nazionali di intelligence degli Stati Uniti e delle autorità europee di protezione dei dati a
parteciparvi. La Commissione farà ricorso a tutte le altre fonti di informazioni disponibili, comprese
le relazioni di trasparenza delle imprese in merito al livello delle richieste di accesso delle autorità
pubbliche. La Commissione organizzerà inoltre una conferenza annuale sulla privacy con le
organizzazioni non governative interessate e i vari stakeholders per discutere gli sviluppi nel settore
della tutela della privacy negli Stati Uniti e il loro impatto sulla protezione dei dati dei cittadini
dell’UE. In base al riesame annuale, la Commissione presenterà una relazione al Parlamento
europeo e al Consiglio.
Prima della sua formale adozione, l’accordo sarà esaminato dal Gruppo di Lavoro Articolo 29 per la
protezione dei dati (organismo consultivo indipendente composto da un rappresentante delle autorità
nazionali di protezione dei dati personali, dal Garante europeo della protezione dei dati e da un
rappresentante della Commissione europea), nella prossima riunione del 12 e 13 aprile 2016, e dal
Comitato dei rappresentanti degli Stati membri, presieduto da un rappresentante della Commissione
europea, previsto dall’Articolo 31 della Direttiva 95/46/CE sulla protezione dei dati personali.