Privacy Shield: in arrivo nuove regole per l’utilizzo dei dati
E’ ormai notizia diffusa che dal mese di ottobre 2015 le aziende che trasferiscono dati dal territorio EU a quello USA e viceversa siano state investite dalla sentenza della Corte di Giustizia dell’Unione Europea sul caso Schrems, la quale, di fatto, invalida il precedente trattato USA-UE vigente, denominato Safe Harbor.
Il 2 Febbraio è stata raggiunta un’intesa che sembra aver complessivamente definito dei punti di accordo tra la commissione UE deputata al dialogo sul documento ed il collegio USA incaricato. Tale atto, di cui ancora si attende la versione definitiva e la divulgazione del testo, ha assunto il nome emblematico di Privacy Shield. Quali sono i cambiamenti per le aziende operanti a cavallo di questi due continenti, in una così delicata fase di transizione?
Qualora una società statunitense voglia procedere al trasferimento dei dati, sarà ora necessario che osservi determinati obblighi inerenti la modalità del trattamento, sotto la stretta supervisione della Federal Trade Commission, l’organo di vigilanza deputato, e dietro il rispetto in taluni casi delle decisioni emesse dai Garanti europei.
In linea di massima, uno dei punti su cui sembra sia stato raggiunto il consenso è quello inerente i confini di accessibilità da parte delle agenzie istituzionali americane (deputate alla difesa e non) ai dati personali raccolti su suolo europeo o comunque inerenti cittadini UE. La sorveglianza di massa emersa dopo lo scandalo Datagate sembra dunque un rischio, per ora, quantomeno fugato. Dovendo fare una sintesi, pare che il quadro che si prospetta sia destinato a dipanarsi nel corso delle prossime settimane, nel corso delle quali la Commissione delle libertà civili deputata predisporrà una decisione di adeguatezza sul versante europeo, mentre da parte statunitense si attende l’adozione di misure idonee a rispettare le garanzie elargite.
Come espresso in precedenza, il testo del documento non è ancora stato reso pubblico. Tuttavia, in attesa di esso, il Working Party art. 29 ha sin da subito preso posizione sottolineando l’esigenza di pubblicazione del testo, e rinforzando l’affidabilità delle Binding Corporate Rules (BCRs) e delle clausole contrattuali standard eventualmente predisposte dalle aziende per poter comunque operare in un regime di transitorietà il trasferimento dei dati dal territorio dell’Unione a quello degli USA. In assenza di quelle, le aziende operanti attività di trasferimento dati (anche nel contesto interno di un gruppo) rischiano una sanzione da parte dei Garanti degli Stati Membri.