Privacy Shield. Inadeguato l’accordo sui trasferimenti frontalieri dei dati

12 Luglio 2018

Privacy Shield

Persistenti carenze nel rispetto dei diritti fondamentali delle persone interessate, alla luce dell’entrata in vigore del regolamento generale sulla protezione dei dati (GDPR) e dopo l’uso improprio dei dati emerso con il caso Facebook – Cambridge Analytica; qualora gli USA non si adeguino entro il 1 settembre la Commissione, proprio sulla base del GDPR ((articolo 45, paragrafo 5 “se un paese terzo non garantisce più un livello di protezione adeguato”), dovrà sospendere l’applicazione dell’accordo Privacy Shield sullo scambio transfrontaliero dei dati fra USA e UE fino a quando le autorità statunitensi non ne rispetteranno le condizioni.

Questo a grandi linee il contenuto della Risoluzione del 5 luglio scorso del Parlamento UE. Si ricorda che il Privacy Shield (Scudo della Privacy) è il nuovo accordo stipulato fra UE e USA dopo la sentenza della Corte di giustizia UE del 6 ottobre 2015 (C-362/14) che ha inficiato il testo precedente, noto come Safe Harbor (Porto Sicuro).

 

Sostanzialmente il nuovo accordo, sottoposto ad una prima applicazione test, non ha passato il vaglio di revisioni e monitoraggi, e non si è adeguato alle raccomandazioni per migliorarlo, fra cui la relazione del dicembre scorso del Gruppo WP29, gruppo di lavoro comune della autorità nazionali di vigilanza e protezione dei dati, che il GDPR ha istituzionalizzato nello European Data Protection Board (EDPB) o del Garante Europe della Privacy.

Pesa su questo richiamo il GDPR, appunto, ma anche il caso Facebook-Cambridge Analytica e i recenti trasferimenti di dati degli utenti extra UE oltreoceano effettuati dalla piattaforma social. Fra i punti attenzionati anche il rigetto del congresso USA dell’applicazione delle norme sulla privacy al settore della banda ultralarga, che di fatto costituisce un’esenzione per i grandi operatori OTT.

 I maggiori rilievi. I toni sono duri: il parlamento ritiene che “l’attuale accordo sullo scudo per la privacy non preveda il livello adeguato di tutela richiesto dal diritto dell’Unione in materia di protezione dei dati e dalla Carta dell’Unione europea secondo l’interpretazione della CGUE”. E invita la Commissione ad adottare tutte le misure necessarie a garantire che lo scudo per la privacy rispetti pienamente il regolamento (UE) 2016/679 (GDPR), “in modo che tale adeguatezza non porti a scappatoie o a vantaggi concorrenziali per le imprese statunitensi”. E i rilievi toccano temi molto sensibili, fra cui:

  • Più volte segnalato, il meccanismo di mediazione istituito dal Dipartimento di Stato statunitense, non sufficentemente indipendente e “non dotato di poteri sufficienti, effettivi e adeguatamente definiti per svolgere i suoi compiti e garantire un ricorso effettivo ai cittadini UE” –  ad es. in ambito intelligence, il mediatore può solo richiedere l’intervento e informazioni da parte di organismi, ma nessuna….. Peraltro il mediatore non è ancora stato nominato.
  • La mancanza di norme e garanzie specifiche per le decisioni basate su un trattamento/profilo automatizzato, che producono effetti giuridici o incidono in maniera significativo sull’individuo (sul tema la Commissione condurrà uno studio).
  • Il consenso, che a differenza del modello dell’UE di trattamento permette un opt-out/diritto di opposizione solo in circostanze molto specifiche. Il Parlamento chiede pertanto con insistenza che, alla luce della revisione congiunta, il Dipartimento del commercio USA collabori con le autorità europee per la protezione dei dati per fornire orientamenti più precisi su diversi aspetti – fra cui principio della scelta, principio della comunicazione, trasferimenti successivi, rapporto tra responsabile e incaricato del trattamento e relativo accesso – in linea con i diritti della persona interessata a norma del regolamento (UE) 2016/679;
  • La reiezione da parte del Congresso USA nel marzo 2017 che, in pratica, ha eliminato le norme sulla privacy nel settore della banda larga in virtù delle quali i fornitori di servizi Internet dovrebbero ottenere il consenso esplicito dei consumatori prima di vendere a operatori pubblicitari o ad altre società o condividere con questi ultimi i dati di navigazione in rete e altre informazioni private.
  • Le procedure di ricorso per i cittadini dell’UE appaiono complesse, di difficile consultazione e pertanto meno efficaci.

Si tratta di una selezione. I rilievi sono più ampi e riguardano anche ritardi nelle implementazioni, i riscontri e le nomine e questioni in materia di sicurezza nazionale, applicazione della legge e diversi atti USA – fra cui ad es. la recente adozione del Clarifying Lawful Overseas Use of Data Act o CLOUD Act che amplia le capacità delle forze dell’ordine americane ed estere di individuare e accedere ai dati personali.

La fragilità dello scudo: il caso Facebook Cambridge Analytica. La vera novità è l’uso improprio dei dati nel caso Facebook-Cambridge Analytica, entrambe società certificate nell’ambito dell’accordo e che, in quanto tali, hanno beneficiato della decisione sull’adeguatezza come base legale per il trasferimento e il successivo trattamento di dati personali dall’Unione europea agli Stati Uniti: lo scandalo ha messo a nudo la fragilità dello scudo.

La risoluzione indica che le recenti rivelazioni riguardanti le pratiche di Facebook e Cambridge Analytica evidenziano la “necessità di azioni proattive in materia di sorveglianza e applicazione delle norme che non si basino solo su denunce, ma prevedano anche controlli sistematici della conformità concreta delle politiche in materia di privacy con i principi dello scudo per la privacy durante tutto il ciclo di certificazione: Anche altri passaggi appaiono riferibili a Facebook: il Dipartimento del commercio “non dovrebbe tollerare che le società statunitensi si esprimano pubblicamente in merito alla loro certificazione in base alla scudo per la privacy prima di aver completato il processo di certificazione”.

Facebook e il trasferimento della sede dei dati extra UE: lo “scudo” del GDPR. Altro motivo di preoccupazione riferito alla piattaforma social è “la modifica delle condizioni di servizio di Facebook per gli utenti non UE al di fuori degli Stati Uniti e del Canada, che finora hanno goduto di diritti ai sensi della legislazione UE e che ora devono accettare Facebook US invece di Facebook Ireland come responsabile del trattamento dei dati”. Il Parlamento “reputa che ciò costituisca un trasferimento di dati personali di circa 1,5 miliardi di utenti verso un paese terzo; dubita che una simile limitazione senza precedenti su vasta scala dei diritti fondamentali degli utenti di una piattaforma, che di fatto è un monopolio, sia ciò che si prefiggeva lo scudo per la privacy; invita le autorità di protezione dei dati dell’UE a indagare su tale questione”.

La criticità va ben oltre il commerciale: il Parlamento esprime” forte preoccupazione per il fatto che, se la questione non verrà affrontata, questi usi impropri di dati personali da parte di varie entità volti a manipolare le opinioni politiche o il loro comportamento di voto possono rappresentare una minaccia per il processo democratico”.

What Next: la commissione IMCO (libertà civili, giustizia e affari interni) è incaricata di continuare a monitorare gli sviluppi in questo settore, comprese le cause dinanzi alla CGUE, e il seguito dato alle raccomandazioni contenute nella risoluzione; il suo Presidente di trasmettere la presente risoluzione al Consiglio, alla Commissione nonché ai governi e ai parlamenti degli Stati membri e al Consiglio. La scadenza per la compliance USA è il 1 settembre, pena sospensione dell’accordo. La risoluzione, pur adottata all’unanimità è un atto non vincolante.

Print Friendly, PDF & Email
Tags | , , ,

You Might Also Like

facebook

Facebook e la privacy. Un binomio sempre più difficile

25 Febbraio 2021
smart assistant

Garante Privacy, smart assistant: istruzioni per l’uso

4 Marzo 2020

GDPR: Verificato il codice dei giornalisti

18 Dicembre 2018
brexit

No deal, no Brexit

14 Marzo 2019