Privacy Shield, evoluzioni e riflessioni

Il Privacy Shield EU-USA, come ben noto, è un accordo stipulato tra Commissione Europea e Dipartimento del Commercio degli Stati Uniti al fine di fornire garanzie sufficienti per i dati personali dei cittadini europei in caso di trasferimento oltreoceano a scopo commerciale.

Gli obiettivi

Il nuovo regime, dal 2016, impone alle imprese americane di proteggere i dati personali dei cittadini europei anche potenziando i poteri di controllo del Dipartimento del Commercio USA e della Federal Trade Commission, attraverso la possibilità di una collaborazione con le autorità europee di protezione dei dati.

L’accordo tiene conto dei requisiti stabiliti dalla Corte di giustizia dell’UE nella sentenza del 6 ottobre 2015, che ha dichiarato invalido il precedente regime normativo, delineando un quadro più severo e rigoroso per i flussi transatlantici di dati.

A seguito della sua introduzione, in tempi decisamente brevi vista la necessità di sostituire il Safe Harbor, sono stati sollevati dai dubbi sull’effettiva efficacia dell’accordo stesso e son in corso le verifiche su tale aspetto, per il secondo anno .

La Commissione, pur avendo riconosciuto una migliore strutturazione delle procedure di certificazione, si aspetta che le autorità statunitensi procedano alla nomina di un difensore civico permanente, l’Ombudsman. Una figura di garanzia che assicuri un miglior accesso alla protezione che il Privacy Shield stesso vorrebbe garantire, attraverso, anche, le denunce riguardanti l’accesso ai dati personali da parte delle autorità statunitensi.

In tal senso vanno intese le verifiche attuate, spot, dalla Camera di commercio americana nei confronti dei soggetti certificati ed anche il monitoraggio di soggetti identificato come più a rischio.
Ed inoltre sono state implementate procedure supplementari di controllo della conformità comprendono anche l’analisi dei siti internet dei partecipanti allo scudo per garantire che i link alle politiche in materia di privacy siano corretti. Infine, un sistema per identificare le dichiarazioni false che impedisce alle imprese di far valere la loro conformità con lo scudo per la privacy se non sono state certificate.

La deadline di febbraio per maggiori garanzie

La commissione mette un termine alla nomina di una figura di garanzia, come sopra indicata, e la scadenza è breve, 28 febbraio 2019.

In caso di inadempimento “…If this does not take place  by that date, the Commission will then consider taking appropriate measures, in accordance with the General Data Protection Regulation.”

Lo strumento quindi c’è ed è in fase d’implementazione, anche se con ritardo. Rimane da verificare l’effettività delle garanzie previste dal testo dell’accordo, rimane da capire se si tratti principalmente di forma o anche, e soprattutto, di sostanza.

Spunto di riflessione: controlli e gestione delle eventuali segnalazioni/lamentele possono certamente raggiungere un alto livello di efficacia quando si parla di imprese, private, che si certifichino e sottostiano a verifiche da parte della camera di commercio; quando si parla – invece – dell’uso (trattamento) che di quei dati viene fatto dal governo degli Stati Uniti, appare legittimo l’insorgere di qualche dubbio sulla sussistenza delle garanzie.

In conclusione, lo strumento può garantire certamente una regolarizzazione e facilitazione del flusso UE-USA favorendo anche uno sviluppo commerciale (e non complicando quello già esistente), ma sembra saggio consigliare comunque prudenza nel fare affidamento esclusivamente su questo strumento per il trasferimento trans-oceanico.