TRASFERIMENTO DATI PERSONALI VERSO GLI USA: FINALMENTE ADOTTATO IL PRIVACY SHIELD / by Giampietro Malusa

Il 12 luglio scorso la Commissione Europea ha adottato il Privacy Shield (di seguito “PS”), colmando così una lacuna che impediva il legittimo trasferimento verso gli Stati Uniti di dati relativi a soggetti europei in mancanza del previo consenso dell’interessato. Al contrario, a seguito dell’adozione del PS, detto trasferimento è possibile e legittimo anche senza il consenso dell’interessato. In pratica, le società statunitensi che autocertificano la rispondenza delle loro privacy policies alla cornice del PS si impegnano a garantire gli elevati standard di tutela dei dati personali validi nell’Unione Europea. Cercando di sintetizzare cosa comporti l’adesione al Privacy Shield, forniamo qui di seguito alcune informazioni essenziali.

Il PS si basa, come sopra accennato, su un sistema di autocertificazione. L’adesione al PS – che va rinnovata annualmente – è volontaria. Tuttavia, a seguito dell’adesione, i relativi obblighi sono vincolanti in base alla legge statunitense.

Il PS riconosce all’interessato una serie di diritti, fra i quali il diritto di informazione (sul tipo di dati trattati, sugli scopi del trattamento, sul diritto di accesso etc.) e il soggetto statunitense destinatario dei dati personali deve, fra l’altro, fornire all’interessato un link alla sua privacy policy e un link all’elenco delle organizzazioni aderenti al PS presente sul sito del Dipartimento del Commercio.

Sono previste limitazioni dell’uso dei dati in caso di scopi differenti da quelli per i quali i dati erano stati forniti o da quelli successivamente autorizzati.

Vale il principio della minimizzazione dei dati e l’obbligo di conservarli solo per il tempo necessario (i dati devono essere accurati, completi, aggiornati, ecc., ed è sempre necessario il rispetto dei Principi del PS).

Sono previsti obblighi di sicurezza dei dati (principio di sicurezza) e, in caso di sub-trattamento, l’organizzazione deve concludere un contratto col sub-incaricato che garantisca lo stesso livello di protezione previsto dai Principi e adoperarsi per assicurarne l’applicazione.

Vi è l’obbligo di proteggere i dati, se questi sono trasferiti a un terzo.

L’interessato ha, naturalmente, il diritto di accedere ai propri dati e di ottenerne la correzione, se del caso.

Varie sono poi le possibilità, per l’interessato per presentare un reclamo e ottenere un rimedio (senza costi), fra le quali, oltre al reclamo all’organizzazione aderente al PS stessa (che deve fornire una risposta entro 45 giorni), anche meccanismi di ricorso indipendente e il ricorso, solo a determinate condizioni, al Privacy Shield Panel. Secondo quanto reso noto dalla Commissione Europea, che ha accolto con favore tale scelta, un dato significativo è che un terzo delle società certificate ha optato per la scelta delle Autorità per la protezione dei dati personali dell’Unione Europea come proprio mezzo di risoluzione delle controversie.

La Commissione Europea ha inoltre stabilito limiti e garanzie in relazione all’accesso e al trattamento dei dati personali (trasferiti in base al PS) da parte di pubbliche autorità statunitensi per scopi di sicurezza nazionale, di applicazione della legge o altri scopi di pubblico interesse. Per la prima volta, è stato anche creato un meccanismo di vigilanza per l’interferenza con la sicurezza nazionale, il c.d. Privacy Shield Ombudsperson.

Come sopra accennato, sul sito del Dipartimento per il Commercio statunitense è pubblicata una lista delle società certificate (v. https://www.privacyshield.gov/list), per cui chiunque voglia verificare se una certa società statunitense ha aderito al PS, può farlo facilmente. Ad oggi sono già oltre 270 le società aderenti. Tra queste figurano Microsoft Corporation, Google Inc., Dropbox, Inc. e Dun & Bradstreet.

Fonti: Commissione Europea - Dipartimento per il Commercio statunitense