La Commissione europea ha finalmente approvato il cosiddetto EU-US Privacy Shield che sostituisce il programma Safe Harbor per regolare il trasferimento dei dati personali negli Stati Uniti. Ma per quanto tempo reggerà?
La fine del Safe Harbor per mano di un utente Facebook
Nell’ottobre del 2015 la Corte di Giustizia europea aveva invalidato il programma Safe Harbor che era l’autocertificazione ai sensi della quale la maggior parte delle società americane trasferivano i dati personali raccolti nell’Unione europea negli Stati Uniti. Si tratta del famoso caso relativo ad un utente Facebook, Maximillian Schrems, che si era preoccupato di proteggere i propri dati personali una volta trasferiti a Facebook dai possibili accessi indiscriminati da parte delle autorità americane.
L’invalidazione del programma Safe Harbor creò settimane di assoluto panico tra le società americane che dovettero velocemente adottare altre soluzioni consentite dalla normativa privacy europea per disciplinare il trasferimento dei dati personali. E infatti la maggior parte delle società americane adottarono le cosiddette “clausole contrattuali tipo”.
Tuttavia, vista l’importanza sia per l’Unione europea che per gli Stati Uniti del libero trasferimento dei dati personali tra di loro, frenetiche trattative iniziarono per l’identificazione di una soluzione alternativa al Safe Harbor.
Il Privacy Shield: uno scudo per proteggere i cittadini europei?
Dopo mesi di discussioni la bozza del “Privacy Shield” è stata svelata lo scorso marzo e ha generato più critiche che consensi. Il “nocciolo del contendere” è sempre lo stesso che ha portato all’invalidazione del Safe Harbor. Una volta che i dati personali relativi ad individui situati nell’Unione europea sono trasferiti negli Stati Uniti è necessario limitare la possibilità per le autorità americane di accedere indiscriminatamente agli stessi e bisogna garantire che gli obblighi imposti dal Privacy Shield siano imposti anche nei trasferimenti dei dati successivi per evitare che una volta usciti dall’Unione europea si verifichi una sorta di effetto “far west”, con un utilizzo incontrollato dei dati.
Almeno nelle intenzioni della Commissione europea queste condizioni si considerano soddisfatte con la nuova versione del Privacy Shield che è stata ora approvata dalla Commissione europea. Si tratta di un sistema di autocertificazione rispetto a principi di compliance privacy che ora risultano rinforzati rispetto alla precedente versione. Viene ora attribuito agli individui il diritto di contestare la violazione della loro privacy di fronte agli organi della società, tramite forme di “alternative dispute resolution” e di fronte ai Garanti privacy. E viene garantito che le autorità americane limiteranno l’accesso ai dati personali di individui situati nell’Unione europea.
Le imprese americane crederanno nel Privacy Shield
Le modifiche apportate al Privacy Shield non sembrano aver “calmato gli animi”. La sensazione generale è che il Privacy Shield potrebbe essere contestato alla prima occasione utile, in quanto alcuni ritengono che non abbia colmato il “gap” tra il trattamento dei dati personali quanto raccolti nell’Unione europea e il loro destino una volta trasferiti negli Stati Uniti.
La domanda è quindi se, data l’attuale incertezza, le società americane decideranno di dismettere l’attuale soluzione di compliance privacy che nella maggior parte dei casi si basa sull’adozione delle “clausole contrattuali tipo” e di abbracciare il Privacy Shield. Del resto la scelta di non adottare i dettami del Privacy Shield può essere dettata anche da motivi di carattere pratico, visto che le sue regole ed obblighi sembrano più complesse ed onerose di quelle imposte dalle clausole contrattuali tipo.
L’approvazione del Privacy Shield potrebbe essere quindi una “vittoria di Pirro” se nessuna società (o un numero molto limitato di società) procederà all’autocertificazione della conformità allo stesso. Ma anche soluzioni quali le clausole contrattuali tipo potrebbero non essere sufficienti visto che il Garante privacy irlandese ne ha contestato la validità per gli stessi motivi che hanno portato all’invalidazione del Safe Harbor.
L’incertezza non aiuta chi deve investire in Europa
L’attuale scenario è molto incerto. Alcune società americane stanno già spostando i server dedicati al proprio business europeo nell’Unione europea. Tuttavia, se questa è una soluzione gestibile – seppur costosa – per le multinazionali americane potrebbe non esserlo per più piccole/medie società, incluse soprattutto le start up. E ciò è ancora più vero se pensiamo che il regolamento europeo sul trattamento dei dati personali di recente adozione aumenterà le sanzioni per la violazione della privacy fino al 4% del fatturato mondiale.
In un periodo in cui la digital revolution è in fermento, il rischio è che il prezzo di una normativa europea privacy maggiormente onerosa sarà pagato dai cittadini europei che non potranno godere di servizi innovativi o li riceveranno con notevole ritardo.
Facebook Comments