Il testo del Privacy Shield sembrava ormai giunto ad un passo dall’approvazione definitiva. E invece, il Garante Europeo per la privacy Giovanni Buttarelli ha precisato come il nuovo accordo debba essere rivisto onde evitare che anch’esso venga bocciato dalla Corte di Giustizia UE.
Quest’ultima, infatti, a seguito del ricorso presentato contro Facebook dallo studente Max Schrems, aveva nell’ottobre scorso invalidato il c.d. Safe Harbour, il trattato tra Europa e Stati Uniti che fino a quel momento aveva regolamentato il trasferimento dei dati personali oltreoceano. La Corte si era in particolare soffermata sul fatto che il meccanismo del c.d. Safe Harbour non impediva alle pubbliche autorità degli Stati Uniti di interferire con i diritti fondamentali delle persone. In attesa di un nuovo accordo, le imprese avrebbero dovuto valutare i contratti in essere con le controparti statunitensi e fare affidamento su strumenti giuridici alternativi per trasferire dati personali verso gli Stati Uniti, come le clausole standard approvate dalla Commissione Europea.
Who's Who
Gabriele Faggioli
Il 2 febbraio Unione Europea e USA hanno raggiunto un accordo politico in materia di protezione dei flussi transatlantici dei dati. Trattasi, ovviamente, del primo step di una serie di passaggi necessari alla definizione di un testo definitivo, che nelle intenzioni originarie della Commissione Europea avrebbe dovuto essere pubblicato entro la fine di giugno. In un comunicato stampa, tuttavia, la stessa ha già precisato come il Privacy Shield prevederà un meccanismo di protezione dei dati più stringente rispetto al precedente, con limiti ben definiti in ordine all’accesso ai dati personali da parte delle autorità pubbliche statunitensi ed una serie di possibilità di ricorsi da parte da parte dei cittadini europei contro l’illegittimo utilizzo dei dati personali.
In data 29 febbraio, invece, la Commissione Europea ha pubblicato le proposte di testi giuridici che compongono il nuovo accordo, ovvero una bozza di decisione sull’adeguatezza del Privacy Shield (“draft adequacy decision”), i principi che dovranno essere osservati da parte delle aziende statunitensi che vogliono importare dati personali dall’Europa, nonché impegni scritti del governo statunitense sull’applicazione dell’accordo, con particolare riguardo alle limitazioni in materia di accesso ai dati personali da parte delle autorità pubbliche di sicurezza.
In particolare, le aziende agiranno sotto il controllo del Department of Commerce e dovranno verificare che gli obblighi relativi ai diritti individuali siano rispettati anche da aziende a cui, eventualmente, i dati vengano successivamente trasferiti. Inoltre, per monitorare il regolare funzionamento del nuovo regime si procederà con una revisione congiunta annuale, condotta dalla Commissione Europea e dal Department of Commerce, alla quale prenderanno parte esperti nazionali di intelligence degli Stati Uniti e delle Autorità di protezione dei dati. Dal canto loro, i cittadini potranno rivolgersi direttamente alle aziende, che avranno l’obbligo di trattare i reclami entro 45 giorni, alle Autorità Garanti del proprio Paese, oltre che, da ultimo, ad un difensore civico (il c.d. “Ombudsperson”), qualora sospettino che i propri dati personali siano stati illegalmente utilizzati dalle Autorità di intelligence statunitensi.
Il 13 aprile il Gruppo di Lavoro art. 29 ha espresso il proprio parere in merito alle bozze di testi giuridici predisposti dalla Commissione Europea, sottolineando come esso costituisca senza dubbio un grande passo avanti rispetto al precedente Safe Harbour, contribuendo ad un maggior livello di tutela degli interessati.
Tuttavia, il Gruppo di Lavoro ha espresso la necessità di lavorare sui testi al fine di migliorare alcune previsioni. Innanzitutto, il nuovo accordo apparirebbe eccessivamente complesso, a volte incoerente e lascerebbe un eccessivo spazio d’azione alle autorità di pubblica sicurezza statunitensi. In secondo luogo, si porrebbe la necessità di sottoporre a revisione i testi alla luce dell’approvazione del nuovo Regolamento Europeo in tema di protezione dei dati personali, al fine di garantire un livello di tutela pari a quello offerto dal Regolamento.
Del 26 maggio è l’approvazione, da parte del Parlamento Europeo, di una risoluzione non legislativa, con la quale esso ha chiesto alla Commissione Europea di continuare le negoziazioni con gli Stati Uniti al fine di rimediare alle carenze del Privacy Shield. Infatti, se da un lato il nuovo accordo presenta dei sostanziali miglioramenti rispetto al precedente Safe Harbour, dall’altro vi sarebbero ancora dei nodi problematici da sciogliere: l’accesso da parte delle autorità di pubblica sicurezza ai dati trasferiti, la complessità del meccanismo di ricorso, l’assenza di poteri effettivi in capo alla nuova figura del Mediatore nel Dipartimento di Stato, nonché la possibilità di raccogliere grandi quantità di dati, che in alcuni casi non sarebbe conforme ai principi di necessità e proporzionalità. Infine, il Parlamento ha chiesto alla Commissione di effettuare periodicamente valutazioni del Privacy Shield alla luce delle nuove disposizioni del Regolamento Europeo in tema di protezione dei dati personali, approvato lo scorso 14 aprile.
Da ultimo, come sopra accennato, il Garante Europeo per la privacy Giovanni Buttarelli ha espresso le proprie preoccupazioni rispetto al nuovo accordo, sottolineando come esso, così formulato, rischia di venire nuovamente invalidato dalla Corte di Giustizia UE.
In particolare, andrebbero meglio esplicitati principi quali quello relativo alla conservazione dei dati e al trattamento automatizzato, oltre che i diritti di accesso e quello di opposizione. Il Garante Europeo per la protezione dei dati ha poi sottolineato che andrebbero chiariti meglio i casi nei quali è possibile derogare ai principi del Privacy Shield, possibilità concessa dal nuovo accordo per ragioni legate alla sicurezza nazionale o qualora sia previsto in forza di disposizioni di legge.
Si è dunque in attesa dell’approvazione del testo definitivo del Privacy Shield, originariamente prevista entro la fine di giugno, che non potrà che tenere conto delle critiche mosse dal Gruppo di Lavoro art. 29 e dal Garante Europeo per la protezione dei dati personali.