Privacy Shield: a settembre la prima revisione dell’accordo Usa-Ue

Le raccomandazioni dei Garanti della Privacy Ue alla Commissione

Il Gruppo che riunisce le Autorità Garanti europee (WP 29) ha reso note le raccomandazioni indirizzate alla Commissione Ue in vista della prima revisione congiunta dell’Accordo “Privacy Shield” relativo al trasferimento dei dati dall’Unione agli Stati Uniti.

L’Accordo sullo “scudo privacy”, adottato il 12 luglio 2016, si fonda su un sistema di autocertificazione in base al quale le organizzazioni statunitensi che intendono ricevere dati personali dall’Unione europea s’impegnano a rispettare un insieme di principi in materia di privacy fissati dal sistema medesimo.

Lo “scudo” prevede un riesame periodico dell’accertamento di adeguatezza al fine di verificare che le constatazioni relative al livello di protezione assicurato dagli Stati Uniti nell’ambito dello Scudo continuino ad essere giustificate in fatto e in diritto.

La prima revisione periodica dell’accordo del Privacy Shield è prevista per il prossimo settembre 2017 quando la Commissione europea incontrerà i rappresentanti delle organizzazioni statunitensi interessate, in primo luogo la Federal Trade Commission e il Dipartimento del Commercio e, per le questioni relative alla sicurezza nazionale, i rappresentanti dell’intelligence e il Mediatore (Ombudsperson) istituito dallo Scudo.

Per garantire che le autorità statunitensi siano in grado di rispondere costruttivamente alle preoccupazioni riguardanti l’applicazione concreta dell’Accordo, il Gruppo dei Garanti Ue comunicherà alla Commissione le informazioni e i chiarimenti su cui, anche alla luce dei commenti e delle criticità già evidenziate nel parere del dell’aprile scorso,  concentrerà la sua attenzione.

Per quanto riguarda la parte commerciale, alcune preoccupazioni erano state sollevate, ad esempio

• sulle garanzie riguardo a decisioni automatizzate o
• in relazione all’assenza di indicazioni specifiche per l‘applicazione dei principi del Privacy Shield da parte delle società che operano, quali responsabili del trattamento, per titolari stabiliti in Ue.

Per quanto riguarda gli aspetti di law enforcement e sicurezza nazionale, il WP 29 chiederà garanzie:

• in merito al rispetto dei principi di necessità e proporzionalità nella eventuale raccolta massiva di dati personali,  nonché
• sulle nomine dei quattro membri del Privacy and Civil Liberties Oversight Board (agenzia indipendente che si occupa della tutela della privacy e delle libertà fondamentali nell’ambito delle attività governativa statunitense per la lotta al terrorismo), sulla nomina del Mediatore e sulle procedure che ne disciplinano il funzionamento.

La Commissione europea lancia lo scudo UE-USA per la privacy: più tutele per i flussi transatlantici di dati

Bruxelles, 12 luglio 2016

Oggi la Commissione europea ha adottato lo scudo UE-USA per la privacy.

Il nuovo regime tutela i diritti fondamentali di qualsiasi persona nell’UE i cui dati personali siano trasferiti verso gli Stati Uniti e apporta chiarezza giuridica alle imprese che operano con trasferimenti transatlantici di dati.

Lo scudo UE-USA per la privacy si fonda sui principi esposti qui di seguito.

• Obblighi rigorosi per le imprese che operano sui dati: nel nuovo regime il Dipartimento del Commercio degli Stati Uniti sottoporrà le imprese aderenti allo scudo a verifiche e aggiornamenti periodici per accertare che rispettino nella pratica le regole che hanno volontariamente accettato. In caso contrario, l’impresa si espone a sanzioni e al depennamento dall’elenco degli aderenti. L’inasprimento delle condizioni applicabili all’ulteriore trasferimento garantirà lo stesso livello di protezione anche quando l’impresa aderente allo scudo trasferisce i dati a terzi.

• Garanzie chiare e obblighi di trasparenza applicabili all’accesso da parte del governo degli Stati Uniti: gli Stati Uniti hanno assicurato ufficialmente all’UE che l’accesso delle autorità pubbliche ai dati per scopi di applicazione della legge e di sicurezza nazionale è soggetto a limitazioni, garanzie e meccanismi di vigilanza precisi. La novità è che qualsiasi persona nell’UE disporrà di meccanismi di ricorso in questo settore. Gli Stati Uniti hanno escluso attività indiscriminate di sorveglianza di massa sui dati personali trasferiti negli Stati Uniti nell’ambito dello scudo. Secondo le precisazioni fornite dall’Ufficio del Direttore dell’intelligence nazionale, la raccolta di dati in blocco sarà eventualmente ammissibile solo in presenza di determinati presupposti, e comunque si tratterà obbligatoriamente di una raccolta quanto più mirata e concentrata possibile. L’Ufficio ha illustrato nei particolari le garanzie vigenti riguardo all’uso dei dati in tali circostanze eccezionali. Il Segretario di Stato degli USA ha istituito all’interno del Dipartimento di Stato una via di ricorso aperta agli europei per gli aspetti legati all’intelligence nazionale: il meccanismo di mediazione.

• Tutela effettiva dei diritti individuali: chiunque ritenga che, nell’ambito dello scudo, sia stato compiuto un abuso sui dati che lo riguardano ha a disposizione vari meccanismi di composizione delle controversie di agevole accesso e dal costo contenuto. Idealmente sarà l’impresa stessa a risolvere il caso di reclamo oppure saranno offerte gratuitamente soluzioni basate su un organo alternativo di composizione delle controversie (ADR). Le persone si potranno anche rivolgere alle rispettive autorità nazionali di protezione dei dati, che collaboreranno con la Commissione federale del Commercio per assicurare che i casi di reclamo sottoposti da cittadini dell’UE siano esaminati e risolti. Esperiti tutti gli altri mezzi a disposizione, come extrema ratio il caso irrisolto potrà essere sottoposto a arbitrato. Per i casi che implicano la sicurezza nazionale, i cittadini dell’UE dispongono di una possibilità di ricorso nella figura del mediatore, che è indipendente dai servizi d’intelligence degli Stati Uniti.

• Analisi annuale comune: il meccanismo consentirà di monitorare il funzionamento dello scudo, compresi gli impegni e le garanzie relative all’accesso ai dati a fini di contrasto della criminalità e finalità di sicurezza nazionale. La Commissione europea e il Dipartimento del Commercio degli Stati Uniti effettueranno l’analisi, alla quale assoceranno esperti dell’intelligence nazionale statunitense e le autorità europee di protezione dei dati. La Commissione attingerà a tutte le altre fonti di informazioni disponibili e presenterà una relazione pubblica al Parlamento europeo e al Consiglio.

Dopo aver presentato il progetto di scudo a febbraio, la Commissione vi ha inserito varie precisazioni e ulteriori miglioramenti basandosi sui pareri espressi delle autorità europee di protezione dei dati (Gruppo dell’articolo 29) e dal garante europeo della protezione dei dati e sulla risoluzione del Parlamento europeo. In particolare, la Commissione europea e gli Stati Uniti hanno concordato ulteriori precisazioni sulla raccolta di dati in blocco, il rafforzamento del meccanismo di mediazione e una maggiore esplicitazione degli obblighi delle imprese quanto ai limiti applicabili alla conservazione e all’ulteriore trasferimento.

Prossime tappe:

• la “decisione di adeguatezza” sarà notificata oggi agli Stati membri, entrando così in vigore immediatamente.
• Gli Stati Uniti pubblicheranno lo scudo per la privacy nel Registro federale, che è l’equivalente della nostra Gazzetta ufficiale. Il Dipartimento del Commercio degli Stati Uniti darà avvio allo scudo.
• Una volta studiato il regime e aggiornate pratiche e politiche per conformarvisi, le imprese potranno certificarsi come aderenti presso il Dipartimento del Commercio a partire dal 1^o agosto.
• La Commissione pubblicherà nel frattempo una breve guida per informare i cittadini dei mezzi di ricorso di cui dispone la persona che ritiene che i suoi dati personali siano stati usati senza tener conto delle norme sulla protezione dei dati.

 

Per ulteriori informazioni

• Decisione di adeguatezza
• Allegati
• D&R
• Scheda informativa

 

 

Azione della Commissione europea contro l’Italia sull’uso delle banche dati per le televendite

Lo scorso 28 gennaio, La Commissione europea ha avviato un procedimento giudiziario nei confronti dell’talia per mancata osservanza delle norme europee in materia di vita privata e comunicazioni elettroniche (ePrivacy).

In base alla normativa europea gli Stati membri hanno l’obbligo di garantire che:

• gli abbonati i cui nominativi figurano in un elenco pubblico siano informati sugli scopi dell’elenco e che
• l’uso a fini commerciali dei dati personali ivi contenuti sia subordinato al loro consenso.

Poiché l’Italia è venuta meno a tale obbligo, la Commissione ha deciso di inviarle una lettera di costituzione in mora (si tratta della prima fase di un procedimento di infrazione).

“ Nella moderna società digitale è essenziale il pieno rispetto della vita privata degli utenti dei servizi di telecomunicazioni” ha affermato Viviane Reding, commissaria europea alle telecomunicazioni. “La direttiva europea sulla tutela della vita privata nel settore delle comunicazioni elettroniche (ePrivacy) offre ai cittadini una serie di strumenti per proteggere la privacy e i dati personali. È preoccupante constatare che non solo l’Italia non ha recepito nel proprio ordinamento interno le disposizioni previste dalla direttiva sulla ePrivacy, ma anche che le autorità italiane hanno prorogato la possibilità di usare banche dati contenenti dati personali di cui non è stato consentito l’utilizzo. È nostro compito garantire che tutti gli Stati membri rispettino le norme comunitarie, in modo che i cittadini si sentano sicuri nel mercato unico delle telecomunicazioni e siano informati dell’uso che viene fatto dei loro dati personali.”

In Italia sono state costituite banche dati per le televendite ricavate da elenchi pubblici di abbonati senza che gli interessati abbiano acconsentito esplicitamente all’uso di queste informazioni. L’uso di queste banche dati era autorizzato fino al 31 dicembre 2009 dalla legge italiana n.14 del 27 febbraio 2009 ed è stato prorogato di ulteriori sei mesi. Stando alle informazioni in possesso della Commissione, gli interessati:

• non sono stati informati né del trasferimento dei loro dati da elenchi telefonici a banche dati costituite a fini commerciali,
• né hanno acconsentito all’inserimento dei loro dati personali in tali database.

La Commissione si interroga inoltre sull’effettiva e corretta applicazione delle nuove disposizioni italiane che permettono agli abbonati di non acconsentire all’uso dei dati che li riguardano.

L ‘Italia dispone di due mesi per rispondere alla lettera di costituzione in mora (la prima fase del procedimento di infrazione) che la Commissione ha deciso di inviare oggi. In assenza di risposta o se le osservazioni presentate dall’Italia non saranno soddisfacenti, la Commissione potrà decidere di formulare un parere motivato (seconda fase di un procedimento d’infrazione). Se nemmeno in questo caso l’Italia dovesse ottemperare agli obblighi che le incombono in virtù del diritto dell’Unione europea, la Commissione potrà adire la Corte di giustizia.

Contesto

La direttiva europea sulla tutela della vita privata nel settore delle comunicazioni elettroniche (Direttiva 2002/58/CE) fa obbligo agli Stati membri di garantire che, prima di essere inseriti in un elenco pubblico, gli abbonati siano informati degli scopi dell’elenco e di qualsiasi uso che potrà esserne fatto. Gli Stati membri hanno l’obbligo di garantire che gli abbonati possano decidere se permettere che i loro dati personali siano inseriti in un elenco pubblico e in che misura i loro dati siano pertinenti per gli scopi di tale elenco. Gli Stati membri devono anche vietare che siano inviate comunicazioni indesiderate, a scopo di commercializzazione diretta, senza il consenso degli abbonati. L’ordinamento interno degli Stati membri può scegliere tra le varie opzioni, ma deve garantire agli abbonati la possibilità di acconsentire o meno all’uso dei loro dati.

Un riepilogo dettagliato dei procedimenti di infrazione in materia di telecomunicazioni è disponibile sul sito:

http://ec.europa.eu/information_society/policy/ecomm/implementation_enforcement/infringement/

45.478085 9.184919