Dopo un ultimo e serrato round negoziale, Stati Uniti e Unione europea hanno trovato ieri un nuovo accordo per gestire il trasferimento di dati sui due lati dell'Atlantico. L'intesa giunge dopo che in ottobre la Corte europea di Giustizia ha considerato che l'attuale intesa Safe Harbour, risalente al 2000, non protegge sufficientemente i cittadini europei, tra le altre cose perché la legge americana consente alle autorità di quel paese di accedere ai dati liberamente.

Il nuovo accordo dovrà essere precisato nelle prossime settimane. «I nostri popoli possono essere sicuri che i loro dati personali sono pienamente protetti – ha detto in una conferenza stampa a Strasburgo il vice presidente della Commissione europea Andrus Ansip -. Le nostre imprese, soprattutto le più piccole, hanno ora la certezza legale di cui hanno bisogno per sviluppare le loro attività oltre Atlantico. Abbiamo il compito di seguire passo passo il nuovo accordo per accertarci che sia all'altezza».

Cosa è l’EU-US Privacy Shield

Si chiama EU-US Privacy Shield ed è il nuovo meccanismo che consentirà i trasferimenti di dati personali dall'Unione Europea agli Stati Uniti, in sostituzione del Safe Habor, dichiarato invalido dalla corte di Giustizia Europea lo scorso ottobre.

I dettagli del nuovo meccanismo non sono ancora noti, quindi è troppo presto per una valutazione del testo e dell'impatto che questo potrà avere sulle aziende che trattano dati personali, o per riflessioni sulla sua efficacia. Tuttavia, sono state date alcune indicazioni

Il 6 ottobre 2015 la Corte di Giustizia Europea aveva dichiarato invalido il Safe Harbor, meccanismo che prevedeva un sistema di volontaria adesione ai principi concordati da Unione Europea e Stati Uniti, sotto la supervisione della Commissione federale per il commercio degli Stati Uniti (Federal Trade Commission), sulla base di alcune considerazioni relative alle modalità con cui la Commissione aveva valutato l'effettiva adeguatezza della protezione dai dati personali garantita negli Stati Uniti. A questo proposito, la Corte aveva osservato come in realtà la Commissione non avesse proceduto ad una constatazione della adeguatezza della protezione dei dati personali garantita dagli Stati Uniti (come richiesto dalla Direttiva in materia di protezione dei dati personali), ma si fosse limitata ad esaminare e considerare sufficiente il regime del Safe Harbor.

La Corte aveva altresì rilevato come il sistema del Safe Harbor fosse applicabile esclusivamente alle imprese americane che lo sottoscrivevano, mentre le autorità pubbliche degli Stati Uniti non vi erano assoggettate: ciò anche alle luce delle rivelazioni sulle attività controllo svolte dai servizi di intelligence statunitensi, in particolare dalla National Security Agency, nell'ambito del cd. Datagate.

Cosa cambia per le aziende

-Le società statunitensi che vorranno importare i dati dall'Europea dovranno assumere specifici obblighi in relazione alle modalità di trattamento dei dati e al rispetto dei diritti dei soggetti coinvolti. La Federal Trade Commission supervisionerà il rispetto di questi obblighi. Inoltre, in alcuni casi le società in questione si impegnerebbero ad agire in conformità delle decisioni delle Autorità garanti europee;
-Gli Stati Uniti hanno assicurato che saranno previsti limiti chiari alla possibilità per le autorità di pubblica sicurezza di accedere ai dati personali: non ci saranno attività di monitoraggio indiscriminato e non proporzionale;
-I cittadini europei che ritengano i propri diritti violati negli Stati Uniti avranno diversi strumenti di tutela: la possibilità per le Autorità europee di riportare casi alla Federal Trade Commission, oppure di rivolgersi a un Ombudsperson creata appositamente in caso di violazioni da parte delle autorità di intelligence.

La Commissione preparerà una decisione di adeguatezza nelle prossime settimane, mentre gli Stati Uniti dovranno adottare le misure per realizzare gli impegni assunti con il nuovo accordo.

Il Gruppo Articolo 29 ha dato rassicurazioni alle aziende circa la possibilità di continuare ad usare i meccanismi alternativi al Safe Harbor per il trasferimento dei dati personali negli Stati Uniti (in particolare, Clausole Contrattuali Standard e Binding Corporate Rules). Tuttavia ha anche sottolineato l'esigenza di rendere pubblici quanto prima possibile maggiori dettagli dell'accordo, nonché di verificare puntualmente le modalità con cui gli Stati Uniti si sono impegnati al rispetto dei principi del Privacy Shield. Quanto alla possibilità di ispezioni e sanzioni nei confronti delle aziende che non hanno adottato misure alternative al Safe Harbor per i trasferimenti dei dati negli Stati Uniti, non è possibile escludere che le Autorità Garanti europee possano procedere in tal senso, soprattutto in caso di reclamo da parte degli interessati.

Il commento

Non è possibile valutare il Privacy Shield senza conoscerne i dettagli. Si tratta senz'altro di un importante passo verso la soluzione dell'impasse creata dalla decisione della Corte di Giustizia sul Safe Harbor. Tuttavia richiede tempi che potrebbero essere anche lunghi per l'implementazione, sia per le autorità Europee che per quelle statunitensi. La sensazione è che – anche in questo caso – non ci sia stata una valutazione dell'adeguatezza dell'ordinamento degli Stati Uniti (che d'altra parte potrebbe rivelarsi un compito impossibile da portare a termine), e dunque che anche questa decisione possa non reggere di fronte ad una eventuale valutazione da parte della Corte di Giustizia. Non solo: partendo dalla constatazione delle garanzie ulteriori rilasciate dagli Stati Uniti nell'ambito del Privacy Shield, c'è da chiedersi se questo non possa avere qualche impatto sulla validità dei meccanismi alternativi per il trasferimento dei dati negli Stati Uniti (e in generale fuori dall'Unione Europea), le Clausole Contrattuali Standard e le Binding Corporate Rules, per le quali tali garanzie non troverebbero applicazione.

* Laura Liguori è socia dello studio legale Portolano Cavallo

© Riproduzione riservata