Con provvedimento di autorizzazione del 27 ottobre 2016, pubblicato in Gazzetta Ufficiale il 22 novembre 2016, il Garante della Privacy, in conformità alla decisione della Commissione europea n. 2016/1250 del 12 luglio 2016 (che ha riconosciuto all’Accordo denominato “EU-U.S. Privacy Shield” un livello adeguato di protezione dei dati personali trasferiti dall’Unione europea ad organizzazioni residenti negli Stati Uniti “certificate” ai sensi del predetto accordo) ha autorizzato il trasferimento di dati personali dal territorio italiano verso le organizzazioni presenti negli Stati Uniti che figurano nell’elenco degli aderenti al “Privacy Shield“.
Fino al 2015 questo scambio era tutelato dall’International Safe Harbor (Porto Sicuro Internazionale), i cui principi però sono stati dichiarati invalidi dalla Corte di Giustizia Europea, che non riteneva proteggesse a sufficienza i cittadini dell’Unione Europea (consentendo infatti alle Autorità Americane di accedere ai dati liberamente). La Corte infatti aveva rilevato come il Safe Harbor si applicasse soltanto alle imprese americane che lo sottoscrivessero, escludendo invece le pubbliche autorità degli Stati Uniti.
Obblighi per le imprese
Il nuovo accordo tra l’Unione Europea e gli Stati Uniti impone alle imprese americane obblighi più severi stabilendo che le autorità americane vigilino e garantiscano in modo più stringente sul suo rispetto e che collaborino maggiormente con le Autorità europee per la protezione dei dati.
Strumenti di Tutela
Tra i nuovi strumenti di tutela giuridica troviamo il “difensore civico” (Ombudsperson), una figura indipendente che riceve i reclami dagli interessati e ne definisce la soluzione.
In alternativa al difensore civico, gli interessati hanno a disposizione altri strumenti di tutela:
– Possono rivolgersi direttamente alle imprese, che hanno l’obbligo di rispondere ai reclami entro e non oltre i 45 giorni;
– Possono ricorrere in modo gratuito ad un meccanismo di Risoluzione alternativa delle controversie (ADR);
– Possono rivolgersi all’Autorità di protezione dei dati la quale, in collaborazione con il Dipartimento del Commercio (Department of Commerce) e la Commissione Federale per il Commercio degli Stati Uniti (Federal Trade Commission), garantisce accertamenti rispetto ai reclami dei cittadini dell’Unione che non abbiano ancora trovato una risoluzione.
Qualora però non sia possibile giungere ad una soluzione sfruttando uno dei precedenti metodi, è possibile ottenere una decisione esecutiva dal Privacy Shield Panel (Collegio Arbitrale del Privacy Shield), attraverso un meccanismo di arbitrato.
Garanzia di un monitoraggio costante
In questo nuovo regime, il Dipartimento del Commercio degli Stati Uniti effettuerà aggiornamenti periodici e verifiche nei confronti delle imprese americane aderenti allo scudo, così da appurare che rispettino le regole che hanno accettato in modo volontario. Qualora tali verifiche non avessero esito positivo, l’impresa rischierebbe sanzioni e verrebbe eliminata dall’elenco degli aderenti.
[Fonti: Garanteprivacy.it, Patrizia Meo, Ilsole24ore.com, Europa.eu]