“Privacy Shield”: il nuovo accordo per trasferimento dati verso gli USA

E’ di pochi giorni fa la notizia che si sta raggiungendo un nuovo accordo, sulla base del quale poter trasferire lecitamente i dati dei cittadini europei verso gli Stati Uniti. Di fatto il 2 febbraio 2016 i rappresentanti delle autorità europee ed americane hanno annunciato il raggiungimento di un accordo politico chiamato “Scudo Privacy” (Privacy Shield), che andrà a sostituire il precedente “Approdo Sicuro” (Safe Harbor), invalidato lo scorso 6 ottobre 2015 dalla Corte di Giustizia del Lussemburgo, con la sentenza n. C- 362/14 (caso M. Schrems/Data Protection Commissioner).
L’invalidamento è frutto del caso sollevato da Maximillian Schrems, un giovane studente di legge austriaco che ha chiesto di bloccare il trasferimento dei suoi dati personali nei server americani di Facebook, evidenziando che la legislazione americana autorizza il superamento dell’accordo sull’«approdo sicuro» nel caso di questioni di sicurezza (preventiva) nazionale. E questo sappiamo che è avvenuto spesso nel corso degli anni, come si è appreso anche dalle famose rivelazioni dell’ex collaboratore della CIA, Edward Snowden.

La nostra Autorità Garante, con la dichiarazione di decadenza dell’Autorizzazione, ha aperto di fatto la strada ad una nuova stagione di controlli, finalizzati a verificare la liceità e la correttezza (vedi articolo 11, comma 1, lett. a) del d.lgs n.196/2003) del trasferimento dei dati da parte di chi li esporta.

Quanto sia sentito il problema dall’Autorità Garante Italiana, lo si evince anche dalla lettera indirizzata al Presidente del Consiglio dei Ministri, Matteo Renzi, in data 21 gennaio 2016 dal Presidente Garante Antonello Soro, che auspicava un nuovo accordo in tempi rapidi e concludeva la lettera con queste parole:

“Poiché sono forti i rischi di pesanti conseguenze dal punto di vista economico anche per le imprese italiane nel caso di ulteriori ritardi (e degli eventuali provvedimenti di blocco dei trasferimenti dei dati che dovessero essere adottati dalle Autorità), Le segnalo la necessità di esercitare ogni possibile iniziativa presso le Istituzioni europee affinché, nel più breve tempo possibile, venga concluso un nuovo Accordo che sia rispettoso dei diritti dei cittadini europei.”

La disciplina europea ed italiana sul trasferimento dei dati personali verso Paesi extra UE è molto restrittiva. In particolare prevede che detto trasferimento è consentito se è autorizzato sulla base di adeguate garanzie per i diritti dell’interessato (Art. 44 del Codice per la protezione dei dati personali italiano).

Considerato che l’art. 25, paragrafi nn. 1 e 2, della direttiva n. 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 prevedono che i dati personali possono essere trasferiti in un Paese non appartenente all’Unione europea qualora il Paese terzo garantisca un livello di protezione adeguato, le imprese potranno trasferire lecitamente i dati delle persone solo avvalendosi degli strumenti espressamente autorizzati, quali le clausole contrattuali standard approvate a livello comunitario, oppure le cd. binding corporate rules (BCR), regole di condotta infra-gruppo approvate secondo una procedura ad hoc.

Pertanto in attesa della pubblicazione ufficiale del c.d. Privacy Shield, le uniche modalità di trasferimento dati verso gli Stati Uniti sono quelle sopra enunciate (BCR o clausole contrattuali).

Chi sta esportando i dati personali dall’Europa agli Usa sulla base del vecchio “ Safe Harbor”, sta violando la legge.

Va ricordato che Il trasferimento di dati personali effettuato in violazione dell’articolo 45 del Codice Privacy è punito con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro (art. 162, comma bis del Dlgs 196/2003)

Inoltre, ai sensi dell’articolo 167, comma 2, del Codice Privacy, salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dall’articolo 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.

Per finire, vediamo cosa prevede il futuro accordo UE/USA che, di fatto, accoglie le richieste formulate dalla Corte di Giustizia nel caso Schrems, rafforzando gli strumenti di controllo nonché le procedure esecutive a tutela della privacy e dando vita ad una reale cooperazione tra le autorità privacy europee ed americane.
In particolare, il Privacy Shield, i cui dettagli verranno definiti nelle prossime settimane dal Vice-Presidente Ansip e dalla Commissaria UE alla Giustizia Jourovà, include:

  • Stringenti obblighi in capo alle società americane che intendano importare dati personali dall’UE, incluso trattare i dati personali nel rispetto delle decisioni delle autorità privacy europee. Il Dipartimento del Commercio USA sarà poi incaricato di monitorare che le società interessate rendano pubblici i presidi a tutela della privacy posti in essere;
  • Chiare garanzie ed obblighi di trasparenza in termini di accesso ai dati da parte del Governo USA. Le autorità americane hanno assicurato che l’accesso ai dati sarà limitato, in conformità ai principi di necessità e proporzionalità. Saranno messi in piedi degli strumenti di controllo che assicurino il rispetto del nuovo accordo ed in particolare la Commissione Europea ed il Dipartimento del Commercio USA condurranno annualmente controlli, con la collaborazione di esperti americani e delle autorità privacy europee;
  • Effettiva protezione dei diritti dei cittadini europei, che potranno rivolgersi ad una pluralità di istituzioni ed istituti (le autorità privacy nazionali, il Dipartimento di Commercio USA, la Federal Trade Commission, Alternative Dispute Resolution, Ombudsperson ad hoc).

Alavie è il partner per la consulenza e la gestione in materia di privacy per aziende nazionali ed internazionali. Contattaci per ricevere tutte le informazioni.