La Commissione europea lancia lo scudo UE-USA per la privacy: più tutele per i flussi transatlantici di dati

eu-us-privacy-shieldBruxelles, 12 luglio 2016

Oggi la Commissione europea ha adottato lo scudo UE-USA per la privacy.

Il nuovo regime tutela i diritti fondamentali di qualsiasi persona nell’UE i cui dati personali siano trasferiti verso gli Stati Uniti e apporta chiarezza giuridica alle imprese che operano con trasferimenti transatlantici di dati.

Lo scudo UE-USA per la privacy si fonda sui principi esposti qui di seguito.

  • Obblighi rigorosi per le imprese che operano sui dati: nel nuovo regime il Dipartimento del Commercio degli Stati Uniti sottoporrà le imprese aderenti allo scudo a verifiche e aggiornamenti periodici per accertare che rispettino nella pratica le regole che hanno volontariamente accettato. In caso contrario, l’impresa si espone a sanzioni e al depennamento dall’elenco degli aderenti. L’inasprimento delle condizioni applicabili all’ulteriore trasferimento garantirà lo stesso livello di protezione anche quando l’impresa aderente allo scudo trasferisce i dati a terzi.
  • Garanzie chiare e obblighi di trasparenza applicabili all’accesso da parte del governo degli Stati Uniti: gli Stati Uniti hanno assicurato ufficialmente all’UE che l’accesso delle autorità pubbliche ai dati per scopi di applicazione della legge e di sicurezza nazionale è soggetto a limitazioni, garanzie e meccanismi di vigilanza precisi. La novità è che qualsiasi persona nell’UE disporrà di meccanismi di ricorso in questo settore. Gli Stati Uniti hanno escluso attività indiscriminate di sorveglianza di massa sui dati personali trasferiti negli Stati Uniti nell’ambito dello scudo. Secondo le precisazioni fornite dall’Ufficio del Direttore dell’intelligence nazionale, la raccolta di dati in blocco sarà eventualmente ammissibile solo in presenza di determinati presupposti, e comunque si tratterà obbligatoriamente di una raccolta quanto più mirata e concentrata possibile. L’Ufficio ha illustrato nei particolari le garanzie vigenti riguardo all’uso dei dati in tali circostanze eccezionali. Il Segretario di Stato degli USA ha istituito all’interno del Dipartimento di Stato una via di ricorso aperta agli europei per gli aspetti legati all’intelligence nazionale: il meccanismo di mediazione.
  • Tutela effettiva dei diritti individuali: chiunque ritenga che, nell’ambito dello scudo, sia stato compiuto un abuso sui dati che lo riguardano ha a disposizione vari meccanismi di composizione delle controversie di agevole accesso e dal costo contenuto. Idealmente sarà l’impresa stessa a risolvere il caso di reclamo oppure saranno offerte gratuitamente soluzioni basate su un organo alternativo di composizione delle controversie (ADR). Le persone si potranno anche rivolgere alle rispettive autorità nazionali di protezione dei dati, che collaboreranno con la Commissione federale del Commercio per assicurare che i casi di reclamo sottoposti da cittadini dell’UE siano esaminati e risolti. Esperiti tutti gli altri mezzi a disposizione, come extrema ratio il caso irrisolto potrà essere sottoposto a arbitrato. Per i casi che implicano la sicurezza nazionale, i cittadini dell’UE dispongono di una possibilità di ricorso nella figura del mediatore, che è indipendente dai servizi d’intelligence degli Stati Uniti.
  • Analisi annuale comune: il meccanismo consentirà di monitorare il funzionamento dello scudo, compresi gli impegni e le garanzie relative all’accesso ai dati a fini di contrasto della criminalità e finalità di sicurezza nazionale. La Commissione europea e il Dipartimento del Commercio degli Stati Uniti effettueranno l’analisi, alla quale assoceranno esperti dell’intelligence nazionale statunitense e le autorità europee di protezione dei dati. La Commissione attingerà a tutte le altre fonti di informazioni disponibili e presenterà una relazione pubblica al Parlamento europeo e al Consiglio.

Dopo aver presentato il progetto di scudo a febbraio, la Commissione vi ha inserito varie precisazioni e ulteriori miglioramenti basandosi sui pareri espressi delle autorità europee di protezione dei dati (Gruppo dell’articolo 29) e dal garante europeo della protezione dei dati e sulla risoluzione del Parlamento europeo. In particolare, la Commissione europea e gli Stati Uniti hanno concordato ulteriori precisazioni sulla raccolta di dati in blocco, il rafforzamento del meccanismo di mediazione e una maggiore esplicitazione degli obblighi delle imprese quanto ai limiti applicabili alla conservazione e all’ulteriore trasferimento.

Prossime tappe:

  • la “decisione di adeguatezza” sarà notificata oggi agli Stati membri, entrando così in vigore immediatamente.
  • Gli Stati Uniti pubblicheranno lo scudo per la privacy nel Registro federale, che è l’equivalente della nostra Gazzetta ufficiale. Il Dipartimento del Commercio degli Stati Uniti darà avvio allo scudo.
  • Una volta studiato il regime e aggiornate pratiche e politiche per conformarvisi, le imprese potranno certificarsi come aderenti presso il Dipartimento del Commercio a partire dal 1o agosto.
  • La Commissione pubblicherà nel frattempo una breve guida per informare i cittadini dei mezzi di ricorso di cui dispone la persona che ritiene che i suoi dati personali siano stati usati senza tener conto delle norme sulla protezione dei dati.

 

Per ulteriori informazioni

 

 

Annunci

Schiaffo a Facebook: la Corte Ue blocca l’accordo con gli Usa sullo scambio di dati.

I singoli Stati dell’Unione Europea potrebbero fermare il trasferimento dei dati degli iscritti europei a Facebook verso server situati negli Stati Uniti.

È quanto ha stabilito la Corte di giustizia europea accogliendo le conclusioni dell’avvocato generale della Corte. È stata quindi dichiarata invalida la decisione della Commissione Ue del 2000 secondo cui gli Stati Uniti garantiscono un adeguato livello di protezione dei dati personali.

La causa era stata presentata contro Facebook nel 2011 da Max Schrems, cittadino austriaco attivista per i diritti della privacy, dopo il Datagate, lo scandalo delle intercettazioni illegali da parte dei servizi segreti americani che aveva rivelato lo spionaggio di diversi leader europei.

Le conseguenze della sentenza sono importanti e coinvolgono giganti di Internet come Facebook e Google, che ora potrebbero essere costretti a sottoporsi allo scrutinio delle autorità di regolamentazione della privacy di ogni Stato membro della Ue e obbligati a immagazzinare i dati in Europa. Questo potrebbe tradursi in un vero e proprio labirinto burocratico perché le società americane dovranno seguire oltre 20 diverse regole nazionali di tutela della privacy.

La Corte ha fatto presente che negli Usa le esigenze della sicurezza nazionale prevalgono «sul regime dell’approdo sicuro» per i dati privati dei cittadini europei. Per questo i colossi del web sono obbligati a derogare «senza limiti, alle norme di tutela previste» con il rischio di «ingerenze da parte delle autorità pubbliche americane nei diritti fondamentali delle persone».

Per la Corte di Lussemburgo, «una normativa che consenta alle autorità pubbliche di accedere in maniera generalizzata al contenuto di comunicazioni elettroniche deve essere considerata lesiva del contenuto essenziale del diritto fondamentale al rispetto della vita privata».

Facebook raccoglie i dati dei suoi utenti europei in un server che ha base in Irlanda e poi li trasferisce negli Stati Uniti. Con questa sentenza, la Corte Ue ha rimesso alle autorità di controllo di Dublino di «esaminare la denuncia» del cittadino austriaco e di valutare se sia necessario «sospendere il trasferimento dei dati degli iscritti europei verso gli Stati Uniti, poiché gli Usa non offrono un livello di protezione adeguato dei dati personali».

«Questo è una cattiva notizia per il commercio tra Usa e Stati Uniti», ha dichiarato Richard Cumbley, Global Head di tecnologia, media e telecomunicazioni presso studio legale Linklaters. «Senza Safe Harbor, le imprese saranno chiamate a trovare accordi».

Questa decisione potrebbe segnare la fine del Safe Harbor, l’intesa sottoscritta nel 2000 dai due blocchi per regolamentare il trasferimento di dati sui due lati dell’Atlantico. E quindi per aiutare le aziende a condurre affari.

La causa muove dalla denuncia di uno studente di legge austriaco Max Schrems per cercare di fermare i trasferimenti di dati verso gli Stati Uniti. Secondo la denuncia di Schrems, alla luce delle rivelazioni di Snowden sullo spionaggio effettuato dall’Nsa, le leggi americane non offrirebbero alcuna reale protezione contro il controllo da parte del Governo Usa.