Privacy Shield: lo scudo protegge ancora?

Giro di vite all’orizzonte nei rapporti a tema privacy tra Unione Europea e Stati Uniti, e a farne le spese in prima battuta sembra essere il c.d. Privacy Shield. A poco meno di due anni dalla sua entrata in vigore, avvenuta nel 2016 su decisione della Commissione Europea, lo “Scudo”, sotto cui avrebbe dovuto trovare protezione il trasferimento di dati personali dal territorio UE agli U.S.A., viene rimesso in discussione.

Oggetto del dibattito è soprattutto la sua “adeguatezza”: nella riunione dell’11 giugno scorso, la Commissione per le libertà civili, la giustizia e gli affari interni del Parlamento Europeo ha avanzato un progetto di risoluzione, teso ad evidenziare tutti i limiti di tale strumento di salvaguardia, specie a fronte dei recenti avvenimenti che hanno coinvolto il tema della data protection. Il riferimento – nemmeno troppo velato, essendo espressamente richiamato all’interno delle premesse della risoluzione stessa – è al celebre caso Facebook-Cambridge Analityca, due delle società inserite proprio nella lista dei soggetti aderenti al Privacy Shield. Oltre a ciò, si aggiunga il rafforzamento delle istanze comunitarie in tema di trattamento dei dati personali, corroborate dalla piena applicabilità, a partire dal 25 maggio 2018, del Regolamento europeo n. 2016/679, il c.d. GDPR, e con cui proprio il Privacy Shield si trova ora a fare i conti.

In questo contesto si sviluppa il testo proposto dalla Commissione, all’interno del quale si riconoscono preliminarmente gli indubbi passi avanti fatti rispetto al c.d. “Privacy Harbour”, il precedente assetto regolatorio relativo al flusso di dati personali UE-U.S.A.. Sempre nel documento, inoltre, si tiene conto di come la vigenza del Privacy Shield sia stata costellata da numerosi sforzi condivisi tra le parti, finalizzati ad incrementare le garanzie offerte. Nonostante ciò, è evidente per la Commissione che la tutela complessivamente prevista nell’Accordo non abbia ancora posto rimedio a particolari carenze sottolineate nel corso del tempo da parte degli organi competenti – primo tra tutti, il Working Party Art. 29. Infatti, le lacune evidenziate dal WP29 e richiamate nella risoluzione riguarderebbero proprio l’accesso motivato da interessi commerciali o pubblici da parte di privati e autorità pubbliche statunitensi a dati personali trasferiti nella vigenza del Privacy Shield, e sarebbero state più volte poste all’attenzione dei competenti organi d’oltreoceano.

La ricostruzione contenuta nella proposta di risoluzione appare dunque quella di una perdurante assenza di dialogo su temi e questioni di rilievo, rispetto alle quali le istituzioni europee continuano a rimanere senza risposta. A fronte di questo quadro, Commissione per le libertà civili, la giustizia e gli affari interni enuclea dunque una serie di soluzioni dal tenore piuttosto perentorio, tra le quali:

• La richiesta diretta al Dipartimento del Commercio statunitense di revisionare periodicamente della lista di società aderenti al Privacy Shield;
• Nel caso specifico di Facebook e Cambridge Analytica, la richiesta di procedere ad apportare i dovuti correttivi rispetto a quanto sia emerso e potrà emergere dalle attività di indagine, dalla rimozione dall’elenco fino al blocco del trasferimento di dati;
• La necessità di addivenire ad un profondo allineamento della normativa americana a quella prevista ora a livello europeo dal GDPR, disciplinando in maniera più puntuale la materia della profilazione, dei trattamenti automatizzati e dei dati personali relativi all’ambito HR;
• La necessità di considerare una rivalutazione di alcuni aspetti cruciali per le libertà degli interessati, quali una maggior tutela nella gestione dei dati personali connessi alle attività online;
• Maggiori garanzie per quanto riguarda la gestione e le possibilità di accesso a dati personali di cittadini non americani da parte di soggetti pubblici americani.

Una serie di istanze sulle quali l’Unione Europea richiede in maniera decisa agli Stati Uniti un comportamento proattivo, “minacciando” l’attivazione dei meccanismi previsti proprio all’interno del GDPR in merito al trasferimento di dati personali verso Paesi extra UE. Il Regolamento, infatti, prevede che tale trasferimento sia possibile solo ove la Commissione reputi sufficienti i livelli di protezione offerti dal Paese destinatario. La Commissione può riesaminare la propria decisione ai sensi dell’art. 45 paragrafo 3 GDPR, e revocare, modificare o sospendere la predetta decisione secondo quanto previsto al successivo paragrafo 5. In questa ottica si innesta quanto prospettato nella risoluzione, ove si richiede una sorta di “ultimatum”: entro il 1° settembre 2018 gli Stati Uniti devono adeguarsi a quanto delineato, pena la sospensione del Privacy Shield.

In considerazione degli interessi soprattutto di carattere economico sottesi alla stipula dello “Scudo Privacy”, una soluzione così tranchant avrebbe ripercussioni di notevole impatto sui rapporti UE-USA, dovendo i soggetti coinvolti trovare soluzioni alternative all’Accordo stesso per mantenere legittimamente il flusso di dati personali che attraversa l’Oceano Atlantico. Messi alle strette, il Dipartimento del Commercio e gli altri soggetti a stelle e strisce coinvolti potrebbero innanzitutto colpire le società ree di aver minato definitivamente il già precario equilibrio dello “Shield”, prime fra tutte Facebook e Cambridge Analytica. Saranno sufficienti queste “vittime sacrificali” a placare gli animi nella “Fortezza Europa” resa ancora più rigida dal GDPR? La questione è rimessa ora al Parlamento, che nel corrente mese di luglio si esprimerà sul testo di risoluzione approvato.