Privacy Shield UE-USA: più tutele per i flussi transatlantici

Scudo UE-USA per la privacy: approvato! Può sembrare la battuta di un cartone animato in cui qualche supereroe sia in procinto di salvare l’umanità dall’attacco di un malvagio e, in effetti, in un certo senso è così: se guardiamo metaforicamente al panorama normativo, il nuovo regime che tutela i diritti fondamentali di qualsiasi cittadino dell’UE i cui dati personali siano trasferiti verso gli Stati Uniti può essere comparato all’azione di un supereroe per distruggere i potenziali rischi per la privacy derivanti dal flusso di dati verso un Paese extra-UE.

Lo scudo UE-USA per la privacy tiene conto dei requisiti stabiliti dalla Corte di giustizia dell’UE nella sentenza del 6 ottobre 2015, nella quale è stato dichiarato invalido il vecchio quadro del Safe Harbor.

Una breve cronistoria

Il 6 ottobre 2015 la Corte di giustizia, nella causaSchrems, ha dichiarato l’invalidità della decisione della Commissione sul regime del Safe Harbor. In realtà la stessa Commissione, già nel novembre 2013, aveva sostenuto la necessità di rivedere tale regime per garantire nella pratica un livello sufficiente di protezione dei dati, come richiesto dalla normativa dell’UE.

Il 15 ottobre 2015 alcuni rappresentanti delle imprese e dell’industria hanno chiesto un’interpretazione chiara e uniforme della sentenza e maggiore chiarezza sugli strumenti disponibili per il trasferimento dei dati.

Il 16 ottobre 2015 le 28 autorità nazionali di protezione dei dati (gruppo di lavoro “articolo 29”) hanno rilasciato unadichiarazionesulle implicazioni della sentenza, affermando la necessità di trovare una visione comune tra UE e USA circa la protezione dei dati personali.

Il 6 novembre 2015, nell’attesa del nuovo quadro, la Commissione ha pubblicato intanto degliorientamentiper le imprese circa le possibilità di trasferimenti transatlantici di dati a seguito della richiamata sentenza.

Il 2 dicembre 2015 il collegio dei commissari ha discusso l’andamento dei negoziati che sono proseguiti poi su un quadro rinnovato e sicuro con gli Stati Uniti.

Il 2 febbraio 2016 la Commissione europea e il governo degli Stati Uniti d’America hanno raggiunto un accordo politico su un nuovo regime per gli scambi transatlantici di dati personali a fini commerciali: il Privacy Shield UE-USA. La Commissione ha presentato il progetto di testo il 29 febbraio 2016. A seguito del parere del Gruppo di lavoro articolo 29 del 13 aprile 2016 e della risoluzione del Parlamento europeo del 26 maggio 2016, la Commissione ha completato la procedura di adozione il 12 luglio 2016.

Cos’è il Privacy Shield UE-USA?

Il Privacy Shield UE-USA non solo proteggerà i diritti fondamentali dei cittadini europei i cui dati personali vengono trasferiti verso gli USA, ma garantirà anche la certezza del diritto per le imprese, apportando, così, una maggiore chiarezza giuridica.

La Commissione Europea, dopo mesi di lavoro, ha dichiarato di aver approvato un regime solido che permetterà di trasferire i dati alle condizioni migliori e più sicure, garantendo anche standard più elevati di protezione per gli stessi. Il Privacy Shield rafforzerà le norme sulla protezione dei dati, le quali, dichiarano da Bruxelles, saranno fatte rispettare più rigorosamente e, inoltre, saranno offerte maggiori garanzie riguardo all’accesso da parte delle autorità pubbliche, semplificando anche le possibilità di ricorso in caso di reclamo da parte del singolo cittadino.

Gli obiettivi del Privacy Shield possono essere riassunti in quattro punti:

obblighi rigorosi per le imprese che operano su dati;
garanzie chiare e obblighi di trasparenza applicabili all’accesso ai dati da parte del governo degli Stati Uniti;
tutela effettiva dei diritti individuali;
analisi annuale comune.

Relativamente agli obblighi per le imprese, nel nuovo regime il Dipartimento del Commercio degli Stati Uniti sottoporrà le imprese aderenti allo scudo a verifiche e aggiornamenti periodiciper accertare che rispettino concretamente le regole che hanno volontariamente accettato. In caso di esiti negativi, l’impresa sarà assoggettata a sanzioni e al depennamento dall’elenco degli aderenti. L’inasprimento delle condizioni applicabili all’ulteriore trasferimentogarantirà lo stesso livello di protezione anche qualora l’impresa aderente allo scudo trasferisca i dati a terzi. Pertanto, il Dipartimento del commercio USA controllerà che le imprese pubblichino i loro impegni, il che permetterà giuridicamente allaFederal Trade Commissiondi farli rispettare. Inoltre, qualsiasi impresa che tratti dati provenienti dall’Europa relativi alle risorse umane dovrà impegnarsi a conformarsi alle decisioni delle autorità di protezione dei dati europee.

L’accesso delle autorità pubbliche statunitensi ai dati per scopi di applicazione della legge e di sicurezza nazionale sarà soggetto a limitazioni, garanzie e meccanismi di vigilanza precisi. La novità rilevante consiste nel fatto che qualsiasi cittadino nell’UE disporrà ora di meccanismi di ricorso in questo settore. Gli Stati Uniti hanno dichiarato di escludere attività indiscriminate di sorveglianza di massa sui dati personali trasferiti negli Stati Uniti, precisando che la raccolta di dati in blocco sarà eventualmente ammissibile solo in presenza di determinati presupposti, e si tratterà obbligatoriamente di una raccolta quanto più mirata e concentrata possibile. In più, è stata istituita all’interno del Dipartimento di Stato americano una via di ricorso aperta agli europei per gli aspetti legati all’intelligence nazionale: il meccanismo di mediazione.

Infatti, chiunque ritenga che, nell’ambito del Privacy Shield, sia stato compiuto un abuso sui dati che lo riguardano, ha a disposizione vari meccanismi di composizione delle controversie: potrà essere l’impresastessa a risolvere il caso di reclamo oppure saranno offertegratuitamentesoluzioni basate su unorgano alternativo di composizione delle controversie. I singoli cittadini potranno anche rivolgersi alle rispettive Autorità nazionali di protezione dei dati, che collaboreranno con la Commissione federale del Commercio per assicurare che i casi di reclamo avanzati da cittadini dell’UE siano esaminati e risolti.Esperiti tutti gli altri mezzi a disposizione, comeextrema ratioil caso irrisolto potrà essere sottoposto adarbitrato . Per i casi che implicano la sicurezza nazionale, i cittadini dell’UE hanno la possibilità di esperire un ricorso nella figura delmediatore, che è indipendente dai servizi d’intelligence degli Stati Uniti.

Come dichiarato dalla Commissione Europea, il nuovo meccanismo consentirà di monitorare il funzionamento del Privacy Shield, compresi gli impegni e le garanzie relative all’accesso ai dati a fini di contrasto della criminalità e per finalità di sicurezza nazionale. La Commissione europea e il Dipartimento del Commercio degli Stati Uniti, poi, dovranno effettuare un riesame congiunto, al quale assoceranno esperti dell’intelligence nazionale statunitense e autorità europee di protezione dei dati. La Commissione attingerà a tutte le altre fonti di informazioni disponibili, comprese le relazioni di trasparenza delle imprese in merito al livello delle richieste di accesso delle autorità pubbliche, e presenterà una relazione pubblica al Parlamento europeo e al Consiglio. La Commissione organizzerà inoltre una conferenza annuale sulla privacy con le organizzazioni non governative interessate e i portatori d’interessi pertinenti per discutere i più ampi sviluppi nel settore del diritto alla privacy degli Stati Uniti e il loro impatto sui cittadini dell’Unione.

Con l’approvazione del nuovo scudo per la privacy sono garantite maggiori tutele per i flussi transatlantici. Dobbiamo solo aspettare per vedere come gli Stati Uniti applicheranno le nuove regole e se, soprattutto, saranno rispettate come promesso, garantendo, così, una reale tutela per i cittadini europei.

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

Privacy Shield UE-USA: più tutele per i flussi transatlantici

I giovedì dell’AI. Intelligenza artificiale e professione forense – Ciclo di seminari

Il regime giuridico dei dati della sperimentazione critica. Privatizzazione della conoscenza vs scienza aperta

Lo ho-BIT – Andata e Ritorno

Newsletter

NAVIGA

Lecce

Milano

Roma

Biella

Castellammare di Stabia

Lecco