L’annuncio della conclusione delle trattative sul c.d. EU-US Privacy Shield o Safe Harbor 2.0 hanno generato molta eccitazione che però, a distanza di quache giorno, viene ora smussata dai rilievi fatti dal Gruppo di Lavoro dell’Articolo 29.
Abbiamo approfondito in un precedente articolo i termini principali dell’annuncio sul nuovo accordo raggiunto tra la Commissione europea e gli Stati Uniti sul trasferimento dei dati personali negli Stati Uniti successivamente all’invalidazione del Safe Harbor.
La posizione del Gruppo di Lavoro dell’Articolo 29
Il Gruppo di Lavoro dell’Articolo 29 (WP29), che comprende tutti i Garanti europei, ha ora espresso i propri dubbi circa la conformità del Privacy Shield con i principi europei, riservandosi di valutare la questione una volta ricevuta la relativa documentazione. Il rischio è che anche il Privacy Shield possa essere successivamente invalidato dalla Corte di Giustizia europea, il che sarebbe quantomeno “curioso” dopo le lunghe trattative che in questi mesi ci sono state tra la Commissione europea e gli Stati Uniti.
Onestamente, non ci auguriamo che si arrivi a questo risultato, perché potrebbe avere un impatto negativo sull’economia sia europea che americana. Tuttavia, come già accennato, è vero che alcune società americane in vista di questo rischio stanno ricollocando i propri server nell’Unione europea.
Tutti al sicuro per il momento…
Ciò che c’è di positivo è che il WP29 ha dichiarato che non contesterà per il momento gli strumenti alternativi volti a consentire il trasferimento dei dati personali negli Stati Uniti, quali le Model Clauses e le Binding Corporate Rules. Quindi le società che si sono affrettate negli ultimi mesi ad adottarle successivamente all’invalidazione del Safe Harbor, sono al sicuro.
Tuttavia, il WP29 si riserva di rivalutare anche questi strumenti successivamente alla ricezione della rilevante documentazione da parte della Commissione europea. Si potrebbe quindi creare la situazione insolita per cui, dopo l’adozione finale del Privacy Shield, gli altri strumenti non siano considerati più adeguati per il trasferimento dei dati negli Stati Uniti.
Cosa stiamo suggerendo ai clienti?
Questa è la tipica domanda da cento milioni di dollari… Non c’è dubbio che nell’attuale situazione di incertezza si possa decidere di trasferire in Europa le infrastrutture relative al proprio business europeo al fine di minimizzare le conseguenze negative della normativa privacy sul resto del business.
Come alternativa si può già iniziare a rendere conforme al nuovo regolamento privacy europeo il proprio business diretto agli utenti europei. E questa scelta è tanto più valida dal momento che il regolamento si applicherà indipendentemente dal luogo in cui le infrastrutture tecnologiche siano situate.
Discuterò del regolamento europeo e del Privacy Shield in un webinar gratuito il 17 febbraio. Se siete interessati all’argomento i dettagli sono disponibili qui.
Facebook Comments