Privacy - Working Party: prime raccomandazioni alla Commissione UE per la revisione del Privacy Shield
Premessa
Il Gruppo di lavoro ex articolo 29 ha comunicato alla Commissione le prime raccomandazioni in vista della revisione congiunta del Privacy Shield, la quale avrà luogo nelle prime settimane di settembre, anche alla luce dei commenti e delle criticità già evidenziate nel parere dello scorso aprile.
Tra le varie preoccupazioni sollevate, ad esempio, quelle sugli aspetti di law enforcement e sicurezza nazionale, in merito alle garanzie rispetto ai principi di necessità e proporzionalità nella eventuale raccolta massiva di dati personali, alla nomina dell’Ombudsperson e alle procedure che ne disciplinano il funzionamento.
Come prescritto nel Privacy Shield (“Scudo per la Privacy”), la revisione dell’accordo ha cadenza annuale e sarà attuata dalla Commissione congiuntamente al Dipartimento del Commercio, alla Federal Trade Commission, alle amministrazioni statunitensi coinvolte; potranno parteciparvi anche rappresentanti delle Autorità garanti nazionali.
Il Privacy Shield
Con la nota pronuncia del 6 ottobre 2015 la Corte di Giustizia UE nel caso Schrems minava alle fondamenta il sistema basato sul Safe Harbour rilevando che: “una normativa che consenta alle autorità pubbliche di accedere in maniera generalizzata al contenuto di comunicazioni elettroniche deve essere considerata lesiva del contenuto essenziale del diritto fondamentale al rispetto della vita privata” (https://www.filodiritto.com/news/2015/privacy-corte-di-giustizia-ue-sistema-safe-harbor-inadeguato-a-tutelare-i-dati-personali-dei-cittadini-europei-verso.html).
Il 12 luglio 2016 è sopraggiunta la decisione di adeguatezza della Commissione UE sul Privacy Shield, nuovo accordo che ha sostituito il Safe Harbour Agreement, il cd. “Approdo sicuro”, decisione di adeguatezza che giustificava gli scambi di dati tra Europa e Stati Uniti d’America.
Il Privacy Shield è stato strutturato appositamente per risolvere le criticità del Safe Harbour emerse con la decisione Schrems; le novità introdotte rispecchiano infatti per la maggior parte i punti dolenti evidenziati dalla Sentenza della Corte di Giustizia UE.
Quali sono queste novità introdotte nel documento definitivo della decisione di adeguatezza del nuovo Privacy Shield?
Dato che la Corte di Giustizia UE, nella citata pronuncia, non entrava nel merito dei principi del Safe Harbour, il Privacy Shield li ha lasciati immutati, mentre è intervenuto sostanzialmente su aspetti di natura tecnica.
Tra le modifiche è stato previsto per il responsabile del trattamento, nel caso in cui voglia trasferire dati personali di un interessato UE ad un soggetto terzo extra UE, l’obbligo di concludere con un contratto (cd. principio dell’Onward Transfer).
Vige sempre il principio di self complying, ma con la garanzia ulteriore data dall’obbligo della Commissione UE di monitorare costantemente il quadro generale dei trasferimenti di dati verso gli USA e di controllare che vengano effettivamente rispettati gli accordi presi dalle autorità statunitensi. In caso di problematiche rilevate, la Commissione UE ha il dovere di sospendere parzialmente o totalmente l’accordo.
Le tutele per gli interessati UE
Sono stati poi previsti diversi meccanismi di ricorso per tutti gli interessati UE che temono sia stata perpetrata una violazione dei diritti riferiti ai loro dati trasferiti negli USA.
Tra gli strumenti di tutela/ricorso citiamo i seguenti: la persona interessata ha la possibilità di rivolgersi direttamente alla società responsabile del trattamento, dato che lo scudo impone a questa di mettere a disposizione del soggetto leso mezzi di ricorso.
Ulteriore possibilità è quella di presentare ricorso alla propria Autorità garante nazionale, che a sua volta inoltrerà la denuncia al Dipartimento del Commercio o alla FTC, a seconda delle reciproche competenze, facendo da ponte tra queste autorità e l’interessato. Se l’Autorità Garante nazionale non interviene, non vuole farlo o, per ultimo, interviene ma solo parzialmente, l’interessato UE può contestare l’intervento innanzi al giudice nazionale.
In alternativa l’interessato può sporgere reclamo direttamente ad un organo indipendente istituito ad hoc: le società e le organizzazioni che vogliono ricevere dati europei dovranno infatti nominare un organo indipendente di risoluzione delle controversie, che l’interessato europeo può adire gratuitamente.
Qualora tutte queste soluzioni disponibili non vadano a buon fine, in ultima istanza è possibile proporre ricorso ad un collegio arbitrale, il Privacy Shield Panel, che ha il potere di emanare pronunce vincolanti per quelle società che hanno aderito al Privacy Shield (qualcosa di simile al nostro Giurì di autoregolamentazione pubblicitaria).
Ulteriore novità introdotta è la figura di garanzia del Privacy Shield Ombudsperson (in italiano, Mediatore dello scudo), figura indipendente istituita a livello di sottosegretario di Stato USA, che avrà il potere di verificare se sia stata rispettata nei singoli casi la normativa privacy e, in caso negativo, se sia stato posto rimedio alla violazione.