Ieri 29 febbraio 2016 la Commissione europea ha pubblicato il testo legale che verrà messo in atto tra Stati europei e Stati Uniti, detto Privacy Shield. Il precedente accordo, il Safe Harbor, non era né preciso né operativo, ed è stato ritenuto illegittimo dalla Suprema Corte europea lo scorso 6 ottobre 2015.
Anche le rivelazioni sull’uso improprio dei dati personali dei massimi esponenti politici europei -tra gli altri tedeschi, francesi ed italiani- da parte degli organi di controllo statunitensi hanno amplificato la necessità di chiarezza delle posizioni sulle due sponde dell’Oceano Atlantico.
La riforma delle norme
La Commissione ha dunque finalizzato la riforma delle norme, negoziato un accordo complessivo e finalmente bidirezionale, inoltre rinsaldato le regole di scambio di dati commerciali, il Privacy Shield vero e proprio.
La Commissione ha inoltre reso pubblico un progetto di “decisione sull’adeguatezza” (adequacy decision).
“La protezione dei dati personali è la mia priorità sia all’interno dell’Eu, sia a livello internazionale”, ha dichiarato il Commissario Jourová; “il Privacy Shield è un quadro nuovo, basato su applicazione e monitoraggio forti, più facile risarcimento per gli individui e, per la prima volta, la garanzia scritta degli Stati Uniti su limiti e garanzie all’accesso ai dati per motivi di sicurezza nazionale”.
Privacy Shield Vs. Safe Harbor
Il Privacy Shield affronta entrambe le raccomandazioni formulate dalla Commissione nel novembre 2013 (dopo le rivelazioni Snowden) e i requisiti stabiliti dalla Corte di giustizia europea nella sua sentenza del 6 ottobre 2015 (per il caso Schrems), che ha dichiarato invalido il vecchio Safe Harbor.
Il nuovo accordo prevede obblighi più forti sulle aziende Usa per proteggere i dati personali dei cittadini europei. Si richiede forte monitoraggio e l’applicazione da parte del Dipartimento statunitense del Commercio (DoC) e della Federal Trade Commission (Ftc), anche attraverso una maggiore cooperazione con le autorità europee di protezione dei dati.
Obblighi, protezione e revisione
Il nuovo accordo prevede tre punti: obblighi, protezione e revisione.
I nuovi obblighi sulle società e sull’applicazione sono forti. Per la prima volta, il governo degli Stati Uniti ha dato la garanzia scritta dell’Ufficio del Direttore della National Intelligence che qualsiasi accesso delle autorità pubbliche a fini di sicurezza nazionale sarà soggetto a cancellare limitazioni, garanzie e meccanismi di controllo.
La protezione dei diritti dei cittadini dell’Unione è ora efficace ed offre diverse possibilità di ricorso. Il 24 febbraio il Presidente Obama ha firmato la legge che estende il diritto alla Privacy (i risarcimenti) ai cittadini al di fuori degli Stati Uniti. I reclami devono essere risolti da parte delle imprese entro 45 giorni e un servizio gratuito di soluzione di risoluzione alternativa delle controversie.
C’è ora un meccanismo di revisione congiunta annuale, che controllerà il funzionamento della Privacy Shield, compresi gli impegni e la garanzia per quanto riguarda l’accesso ai dati per l’applicazione della legge e la sicurezza nazionale. Sulla base della revisione annuale, la Commissione pubblicherà una relazione.
I prossimi passi
Un comitato composto da rappresentanti degli Stati membri si consulterà e l’Autorità europea di protezione dei dati (Articolo 29) darà il proprio parere, prima di una decisione definitiva da parte del Collegio. Nel frattempo, la controparte statunitense farà i preparativi necessari per mettere in atto il nuovo quadro, i relativi meccanismi di controllo e il nuovo meccanismo di difensore civico (ombudsperson).
La legge sui rimborsi firmata da Obama è essenziale per l’accordo-ombrello, che la Commissione europea proporrà a breve per la firma. La decisione relativa alla conclusione dell’accordo dovrebbe essere adottata dal Consiglio, previa approvazione del Parlamento europeo.