Il Privacy Shield, lo scudo UE-USA per la privacy frutto dell’accordo tra Commissione europea e gli USA che il 12 luglio 2016 ha sostituito il Safe Harbour, sarà presto oggetto di revisione. A settembre, numerosi esperti dei servizi di sicurezza americani e delle Autorità europee per la protezione dei dati si incontreranno e discuteranno per apportare una prima revisione dell’accordo, come deciso durante un recente incontro dei vertici a Washington. Ci si chiede ora come l’amministrazione Trump affronterà questo confronto, stante il fatto che in questi primi mesi di vita è stata motivo di forti preoccupazioni, sotto molteplici aspetti, tanto che gli equilibri internazionali raggiunti sono stati messi pesantemente in discussione.
Tante questioni spinose sul tavolo di lavoro
In generale, il fine del Privacy Shield è quello di garantire ai cittadini europei una maggiore trasparenza rispetto al trasferimento dei propri dati negli USA ed un consequenziale incremento della tutela degli stessi. Prevede, inoltre, che le autorità statunitensi si impegnino a vigilare ed assicurare il rispetto dello stesso a mezzo di una maggiore collaborazione con le autorità europee per la protezione dei dati, oltre ad una imposizione di obblighi più severi per le imprese americane. Le questioni sul tavolo di discussione saranno, principalmente, quattro: l’accesso ai dati da parte dell’Amministrazione americana; nuove implicazioni per gli operatori del settore commerciale; la puntuale predisposizione di alcuni strumenti di tutela giuridica; la previsione di un monitoraggio periodico, su base annua, circa il funzionamento (o meno) dell’Accordo.
Saranno quindi rimessi in discussione anche i contenuti dell’accordo che riguardano alcuni obblighi che le imprese americane devono rispettare. Nello specifico: autocertificare su base annua il rispetto degli obblighi imposti; pubblicare una corretta privacy policy (informativa privacy) sui propri siti internet; rispondere tempestivamente ad eventuali reclami sollevati dagli interessati; collaborare con le Autorità europee per la protezione dei dati e dare seguito alle loro richieste (se trattano dati relativi al personale/alle risorse umane).
Non di minore importanza è l’ambito di accesso ai dati da parte dell’Amministrazione USA, che deve prevedere specifiche garanzie ed obblighi di trasparenza. Dovrà essere garantita l’adozione di nuovi limiti e controlli circa l’accesso ai dati personali da parte di autorità pubbliche; le imprese possono dichiarare il numero (anche approssimativo) di richieste di accesso ricevute. È stato inoltre costituito il cosiddetto “difensore civico”, un soggetto indipendente incaricato a ricevere e decidere dei reclami eventualmente presentati dagli interessati.
Per tutto ciò che invece concerne il settore commerciale, saranno istituiti nuovi obblighi per le imprese e nuove (rigide) misure di attuazione, al fine di garantire una maggiore trasparenza, con la conseguenza, per le aziende che non rispettano tali disposizioni, di incorrere in sanzioni o possibili esclusioni dai benefici discendenti dall’accordo stesso.
Circa i possibili strumenti di tutela giuridica, saranno previste diverse possibilità per gli interessati, di far valere i propri diritti. Essi possono rivolgersi direttamente all’impresa (la quale, in caso di reclamo, si impegna a rispondere entro 45 giorni dalla sua presentazione) oppure fruire gratuitamente di un meccanismo di risoluzione alternativa delle controversie.
Più importante ancora sarà la possibilità, per l’interessato, di rivolgersi direttamente all’Autorità di protezione dei dati (che si interfaccerà, sua volta, con il Department of Commerce e la Federal Trade Commission degli USA), oppure al Privacy Shield Panel (un Collegio arbitrale incaricato di emanare decisioni esecutive, nel caso in cui le soluzioni precedentemente elencate non siano risultate utili). Infine, sarà fissato un monitoraggio periodico (una volta l’anno) per la verifica del funzionamento dell’accordo e per verificare il rispetto degli impegni assunti dagli USA.
Tante nubi sull’orizzonte della privacy dei cittadini europei
Questa attività di revisione del Privacy Shield si inserisce in un difficile panorama con innumerevoli incertezze all’orizzonte. A gennaio del 2017, ad esempio, sono state abolite alcune norme che vietavano lo scambio di informazioni (senza aver ottenuto il consenso degli utenti) tra agenzie governative. Nello specifico, le nuove regole consentono alla NSA di condividere i dati raccolti senza consenso (oltre alle autorizzazioni ottenute dal Congresso e le ordinanze dei tribunali) con altre 16 agenzie, tra cui l’FBI.
Non è tutt’ora chiaro se all’interno di tali condivisioni siano da ricomprendere anche i dati dei cittadini europei. La risposta dovrebbe essere chiara e semplice: no, sono protetti dal Privacy Shield posto a garanzia degli stessi. “Dovrebbe” però è il termine corretto da utilizzare, tanto che numerosi europarlamentari nutrono seri dubbi su tale garanzia in armonia con l’Accordo stipulato e venga compromesso il trattamento nel rispetto della Carta dei diritti fondamentali dell’Ue e delle nuove regole qui imposte (primo su tutti, il RGPD).
Il ruolo del Gruppo di lavoro WP29
Un ruolo fondamentale in tutta la questione lo svolge il Gruppo di lavoro WP29, il gruppo di esperti e funzionari europei della privacy, che si sta mobilitando affinché la Commissione europea valuti con esattezza e prudenza i risultati derivanti dalla revisione del Privacy Shield, anche e soprattutto a seguito delle numerose critiche da esso ricevute nell’ultimo anno.
All’interno di una recente lettera alla Commissione (luglio 2017) il WP29 ha racchiuso le proprie richieste di chiarimento, i propri dubbi e le proprie aspettative in vista della revisione annuale dell’Accordo, fissata per settembre. La lettera contempla alcune precisazioni. Viene specificato che le questioni discusse nel testo della stessa potrebbero non risultare esaustive e, di conseguenza, potrebbe essere necessario presentare alcune questioni aggiuntive durante la preparazione della revisione congiunta.
Per quanto riguarda la parte commerciale, il WP29 ha delle questioni riguardanti, tra l’altro, l’esistenza di garanzie legali in materia di decisioni automatizzate o ancora circa l’esistenza di qualsiasi linea guida derivante dal documento per l’applicazione dei principi di Privacy Shield alle organizzazioni che agiscono come responsabili del trattamento, per titolari stabiliti in Ue.
Per quanto riguarda le forze dell’ordine e la parte di sicurezza nazionale, il WP29 mostra preoccupazione per gli ultimi sviluppi della legge americana e della giurisprudenza in ambito privacy.
Il WP29, inoltre, è alla ricerca di prove sicure e precise volte a dimostrare che la raccolta massiva, quando effettuata, risulti “adeguata come possibile”, “limitata e proporzionata” come stabilito. Infine, verranno richiesti chiarimenti circa le nomine dei quattro membri del PCLOB (Privacy and Civil Liberties Oversight Board, l’agenzia indipendente che si occupa della tutela della privacy e delle libertà fondamentali nell’ambito delle attività governativa statunitense per la lotta al terrorismo), sulla nomina del Mediatore e sulle procedure che ne disciplinano il funzionamento.
Il WP29 chiarisce che sono stati designati 8 partecipanti che andranno a costituire parte del gruppo di revisione, composto da Commissari ed esperti in materia, specificando inoltre, che il tempo necessario per condurre una corretta valutazione dovrebbe essere almeno di 2-3 giorni.
Il WP29 si aspetta, infine, che gli verrà offerta l’opportunità di fornire osservazioni sulla relazione della Commissione, prima della sua conclusione. Tuttavia, salvo l’esito della revisione congiunta e della relazione della Commissione, il WP29 si riserva il diritto e la possibilità di pubblicare una propria relazione, sulla base delle risultanze emerse dal proprio gruppo di revisione.
Occorrerà comprendere quali intenzioni muovono dal fronte americano ed affinare le disposizioni in esso contenute anche (e soprattutto) alla luce del fatto che l’Europa si trova a meno di un anno dall’applicazione del GDPR il quale, è bene ricordarlo, ha un fortissimo impatto globale, in quanto in esso vengono regolamentati tutti i trattamenti di dati dei cittadini europei, anche se effettuati al di fuori del suolo comunitario.
* di Gabriele Tori, Legal consultant – P4I – Partners4Innovation