Eu-US Privacy Shield. Da approdo non tanto sicuro a scudo da forgiare Irene Pudda
Il trasferimento di dati personali da Paesi appartenenti all'Unione europea (Eu) verso Paesi "terzi", non appartenenti all'UEe o allo Spazio Economico Europeo (Norvegia, Islanda, Liechtenstein), è in principio vietato (articolo 25, comma 1, della Direttiva 95/46/CE) a meno che il Paese terzo in questione garantisca un livello di protezione "adeguato” ossia quanto meno equivalente a quello europeo. La Commissione europea può stabilire, previo parere favorevole del Gruppo ex Articolo 29 della Direttiva 95/46/CE (WP29), che il livello di protezione offerto in un determinato Paese è adeguato (articolo 25, comma 6, della Direttiva 95/46/CE) e che pertanto è possibile trasferirvi dati personali. Con riferimento agli Stati Uniti d’America, dopo il parere favorevole espresso da parte del WP29, la Commissione ha adottato la decisione 2000/520/CE con la quale si è ritenuto che i principi di cui all’accordo tra istituzioni europee e statunitensi (oltre alle “Domande più frequenti”-FAQ in materia di riservatezza pubblicate dal Dipartimento del Commercio degli Stati Uniti) denominato Safe Harbor (ovvero “approdo sicuro”) garantissero un livello di protezione adeguato ai dati personali trasferiti negli USA.
Per oltre un decennio, quindi, il trasferimento di dati personali dai Paesi europei alle imprese collocate sul territorio statunitense è avvenuto sulla scorta dell’approdo sicuro ossia in base a un metodo di adesione volontario offerto alle organizzazioni statunitensi mediante apposita autocertificazione e secondo autonoma valutazione. Tutto ciò è venuto meno il 6 ottobre 2015 allorquando la Corte di Giustizia dell’Unione europea ha invalidato la citata Decisione della Commissione Europea 2000/520/CE. Alla luce dei controlli e delle ingerenze dei servizi di intelligence statunitensi, sempre più invasivi in nome della tutela nei confronti del terrorismo, i principi del Safe Harbor sono apparsi inadeguati rispetto all’esigenza imprescindibile di garantire ai cittadini europei la tutela dei propri dati personali. A latere della decisione della Corte di Giustizia non è però venuta meno la continuità di relazioni commerciali tra vecchio e nuovo continente e così la relativa necessità di trasferire dati personali verso gli Stati Uniti. Pertanto, le istituzioni europee e quelle statunitensi hanno accelerato i negoziati avviati da un paio d’anni per rafforzare il Safe Harbor, raggiungendo - il 2 febbraio 2016 - un nuovo accordo politico, il Privacy Shield (ndr. “scudo privacy”), finalizzato alla protezione dei diritti fondamentali dei cittadini europei i cui dati sono trasferiti negli Stati Uniti. Successivamente, la Commissione Europea, con comunicato stampa del 29 febbraio 2016, ha annunciato la pubblicazione del set di documenti in cui si articola in concreto l’accordo politico raggiunto ossia la bozza di decisione di adeguatezza COM(2016) 117 e gli allegati contenenti sia i principi su cui detto accordo si fonda sia l’assunzione di impegno da parte delle autorità americane. Nonostante i miglioramenti rispetto al passato, soprattutto in termini di impegni vincolanti per le organizzazioni statunitensi che trattano dati personali provenienti dall’Europa e di rassicurazioni sulla effettività di limiti alle ingerenze statali e di intelligence, la bozza di decisione di adeguatezza della Commissione europea e i principi del Privacy Shield non sono passati indenni alla disamina condotta dal WP29. Quest’ultimo, infatti, con comunicato del 13 aprile 2016 - proprio a ridosso dell’approvazione in via definitiva del nuovo Regolamento Generale Europeo sulla protezione dei dati personali che nel 2018 andrà a sostituire la Direttiva 95/46/CEE - ha reso note alcune delle criticità evidenziate nel proprio parere (WP238/16) rispetto al quadro normativo rappresentato dalla Direttiva 95/46/CE, dalla Convenzione Europea sui Diritti Umani e dalla Carta dei Principi Fondamentali dell’Unione europea.
Energia Media 2016
2
Alla luce delle criticità ravvisate, il WP29 ha sollecitato chiarimenti alla Commissione europea e miglioramenti alla bozza di decisione di adeguatezza relativa al Privacy Shield al fine di assicurare che la protezione offerta ai dati personali dallo scudo privacy sia effettivamente equivalente a quella europea. In attesa che la decisione di adeguatezza sia integrata come suggerito dal WP29 e poi implementata, il trasferimento dei dati personali dall’Europa agli Stati Uniti potrà avvenire - tra gli altri e in deroga al divieto di trasferimento verso Paesi terzi che non offrono livelli di protezione adeguati - sulla base di strumenti contrattuali garantistici (articolo 26, comma 2, della Direttiva 95/46) quali le cosiddette EU Standard Contractual Clauses (SCCs) e le Binding Corporate Rules (BCRs).
L’autrice Irene Pudda è avvocato, Senior Associate presso lo Studio Rödl & Partner
Energia Media 2016
3
Energia Media Milano / Roma comunicazione@energiamedia.it www.energiamedia.it