di Giorgio Mocavini
8 febbraio 2015
È di qualche giorno fa la notizia che Unione europea e Stati Uniti sono giunti a un nuovo accordo per gestire e regolare il trasferimento di dati personali da una sponda all’altra dell’Atlantico (qui il link del comunicato stampa della Commissione Ue).
L’accordo, che non è ancora stato reso noto nei dettagli, prende il nome di EU-US Privacy Shield e si sostituisce al meccanismo di Safe Harbor, non più applicabile a partire dalla sentenza della Corte di Giustizia Ue del 6 ottobre 2015.
Nel caso Schrems, la Corte di Giustizia ha infatti dichiarato invalida la decisione 2000/520/CE, del 26 luglio 2000, con la quale la Commissione europea aveva ritenuto sufficiente il grado di protezione garantito dall’ordinamento statunitense nei confronti dei dati personali dei cittadini dell’Unione trasferiti a organizzazioni aventi sede negli Stati Uniti.
Il sistema di protezione di Safe Harbor non è stato considerato dalla Corte come sufficientemente efficace per prevenire abusi nel trattamento dei dati personali.
In primo luogo, la Corte ha censurato il fatto che la Commissione non avesse compiuto una reale valutazione del livello di adeguatezza della protezione dei dati personali offerto dagli Stati Uniti, limitandosi ad approvare il regime dell’«approdo sicuro». In virtù dell’art. 25, par. 6, della direttiva in materia di protezione dei dati personali (direttiva 95/46/CE), la Commissione è infatti sempre tenuta a verificare in concreto che uno Stato terzo, al quale giungono i dati personali dei cittadini europei, assicuri un livello di tutela di questi dati sostanzialmente equivalente a quello europeo, ai fini del più ampio rispetto della vita privata, delle libertà e dei diritti fondamentali.
In secondo luogo, la Corte ha rilevato come il meccanismo di Safe Harbor trovasse attuazione esclusivamente nei confronti delle imprese americane che lo avessero sottoscritto. Con la sua decisione, la Commissione aveva di fatto accettato che le autorità pubbliche statunitensi non fossero soggette ai limiti del Safe Harbor, sancendo, di conseguenza, il primato delle esigenze di sicurezza nazionale degli Stati Uniti su quelle di garanzia dei dati sensibili dei cittadini europei.
Alla luce delle poche informazioni trapelate sul nuovo accordo, non è ancora possibile affermare con certezza che il Privacy Shield garantisca un livello di tutela adeguato per gli standard dell’Unione europea, così come può essere ancora prematuro tentare di misurarne l’efficacia e l’impatto concreto.
Tuttavia, in considerazione delle anticipazioni pubblicate dalla Commissione, si può osservare come il Privacy Shield intervenga su tre fronti:
1) le società americane che vorranno importare dati personali dall’Unione europea dovranno assumere specifici obblighi sul trattamento di questi dati, sottoponendosi al controllo della Federal Trade Commission e impegnandosi ad agire in conformità delle decisioni assunte dalle Autorità europee di protezione dei dati personali;
2) gli Stati Uniti hanno dato assicurazioni scritte all’Unione europea sul fatto che le autorità di pubblica sicurezza saranno soggette a limiti chiari e netti sull’accesso ai dati personali dei cittadini europei, impegnandosi a escludere qualsiasi tipo di indiscriminata mass surveillance sulla base del nuovo accordo. Quest’ultimo sarà sottoposto a revisione annuale, condotta dalla Commissione europea, affiancata dagli esperti delle Autorità europee di protezione di dati personali, e dal Dipartimento del commercio degli Stati Uniti, affiancato da esperti americani di intelligence;
3) i cittadini europei avranno a disposizione molteplici strumenti di tutela ai quali ricorrere nel caso in cui riterranno violati i propri diritti: innanzitutto, i cittadini potranno segnalare specifiche violazioni alle società americane, che dovranno rispondere entro un termine certo; le Autorità europee possono poi riportare i casi di violazione accertati alla Federal Trade Commission; infine, è sancita la possibilità di ricorrere a un Ombudsperson appositamente creato in caso di violazioni arrecate dalle autorità di intelligence.
I primi commenti della stampa europea e americana sui contenuti parziali del Privacy Shield sono di cautela: da una parte, si lamentano i tempi lunghi che sottendono all’implementazione del nuovo accordo e si ritiene anche non molto analitica la valutazione di adeguatezza della Commissione (si veda il Sole 24 Ore del 3 febbraio 2016, qui il link); dall’altra, si ritengono non sufficienti le assicurazioni scritte da parte degli Stati Uniti (si veda la Repubblica del 2 febbraio 2016, qui il link); da un lato, non si manca di sottolineare i punti di forza dell’accordo (si veda il Guardian del 2 febbraio 2016, qui il link); dall’altro, si evidenziano gli ostacoli che potranno renderlo esecutivo a tutti gli effetti (si veda il New York Times del 2 febbraio 2016, qui il link).
Particolarmente critica la stampa tedesca: secondo il Süddeutsche Zeitung il Privacy Shield presente più o meno gli stessi vizi del precedente Safe Harbor e non sarebbe in grado di reggere a un esame di validità da parte della Corte di Giustizia Ue (si vedano gli articoli del 2 febbraio 2016, qui, e del 4 febbraio 2016, qui).
Non resta che attendere la valutazione di adeguatezza dell’accordo da parte della Commissione Ue, che dovrebbe avvenire nelle prossime settimane, la pubblicazione del testo dell’accordo e gli sviluppi futuri dello stesso.