Ieri la Commissione Europea ha adottato la decisione sull’UE – USA Privacy Shield, relativa al trasferimento dei dati personali di cittadini e imprese fra le due sponde dell’Atlantico. Il provvedimento tutela i diritti fondamentali di qualsiasi persona nell’UE i cui dati personali siano trasferiti verso gli Stati Uniti e disciplina l’attività delle imprese che operano con trasferimenti transatlantici di dati.
L’obiettivo del provvedimento è infatti quello di garantire la protezione dei dati personali dei cittadini europei anche nel caso in cui i loro dati viaggino da server europei verso server statunitensi, come nel caso dei dati raccolti sui social network.
Rispetto alla bozza presentata lo scorso febbraio la decisione contiene alcune precisazioni volte a garantire il rispetto di alcuni principi fondamentali. Essa contiene: a) obblighi rigorosi per le imprese che operano sui dati. Nel nuovo regime il Dipartimento del Commercio degli Stati Uniti sottoporrà le imprese aderenti allo scudo a verifiche e aggiornamenti periodici per accertare che rispettino nella pratica le regole che hanno volontariamente accettato. In caso contrario, alle imprese saranno applicate sanzioni e saranno escluse dall’elenco degli aderenti. L’inasprimento delle sanzioni applicabili all’ulteriore trasferimento garantirà lo stesso livello di protezione anche nel caso in cui le imprese aderenti allo scudo dovessero trasferire i dati a terzi. B) Garanzie chiare e obblighi di trasparenza applicabili all’accesso da parte del governo degli Stati Uniti. Gli USA hanno assicurato all’Unione Europea che l’accesso delle autorità pubbliche ai dati per scopi di applicazione della legge e di sicurezza nazionale è soggetto a limitazioni, garanzie e meccanismi di vigilanza precisi. Qualsiasi persona nell’UE disporrà di meccanismi di ricorso in questo settore. Secondo le precisazioni fornite dall’Ufficio del Direttore dell’intelligence nazionale, la raccolta di dati in blocco sarà eventualmente ammissibile solo in presenza di determinati presupposti, e comunque si tratterà obbligatoriamente di una raccolta quanto più mirata e concentrata possibile. C) Tutela effettiva dei diritti individuali. Qualsiasi soggetto riterrà che, nell’ambito dello scudo, sia stato compiuto un abuso sui dati che lo riguardano ha a disposizione vari meccanismi di composizione delle controversie di agevole accesso e dal costo contenuto. Tali soggetti potranno anche rivolgersi alle rispettive autorità nazionali di protezione dei dati, che collaboreranno con la Commissione federale del Commercio per assicurare che i casi di reclamo sottoposti da cittadini dell’UE siano esaminati e risolti. Esperiti tutti gli altri mezzi a disposizione, come extrema ratio, il caso irrisolto potrà essere sottoposto a arbitrato. D) Analisi annuale comune: il meccanismo consentirà di monitorare il funzionamento dello scudo, compresi gli impegni e le garanzie relative all’accesso ai dati a fini di contrasto della criminalità e finalità di sicurezza nazionale.
La Commissione europea e il Dipartimento del Commercio degli Stati Uniti effettueranno l’analisi, nella quale si affiancheranno esperti dell’intelligence nazionale statunitense e le autorità europee di protezione dei dati. La Commissione attingerà a tutte le altre fonti di informazioni disponibili e presenterà una relazione pubblica al Parlamento europeo e al Consiglio.
