A seguito dell’accordo tra Stati Uniti e Commissione europea sul nuovo meccanismo che regolerà i trasferimenti di dati personali dall’Unione europea agli Stati Uniti, in sostituzione del Safe Habor, annunciato lo scorso 2 febbraio 2016, cd. “Privacy Shield”, il 29 febbraio 2016 la Commissione europea ha pubblicato le proposte di testi giuridici che compongono il nuovo accordo, ossia:
(i) una bozza di “decisione della Commissione sull’adeguatezza della protezione dei dati in base all’EU-US Privacy Shield”;
(ii) i principi che le imprese statunitensi saranno tenute a rispettare nell’ambito dell’accordo;
(iii) impegni scritti del governo degli Stati Uniti sull’applicazione dell’accordo, con particolare riguardo al rispetto delle garanzie e delle limitazioni in materia di accesso ai dati da parte delle autorità pubbliche di sicurezza.
La Commissione europea ha pubblicato anche una comunicazione che illustra le azioni adottate negli ultimi anni per ripristinare la fiducia nei flussi transatlantici di dati personali (tra cui la riforma della normativa privacy europea e il nuovo accordo quadro (cd. Umbrella Agreement) tra Unione europea e Stati Uniti sulla cooperazione e sul trasferimento dei dati tra le forze di polizia degli Stati membri dell’Unione europea e degli Stati Uniti).
Tra le previsioni del nuovo accordo, si segnala:
- maggiori obblighi sulle società statunitensi ed enforcement rafforzato: il nuovo accordo comprende meccanismi di vigilanza e la previsione di sanzioni o dell’esclusione dal “Privacy Shield” in caso di violazione degli obblighi. Le nuove regole prevedono anche condizioni più rigorose per i trasferimenti successivi a terzi, tra cui l’obbligo di fornire al Dipartimento del Commercio degli Stati Uniti d’America, su richiesta, una copia delle clausole sulla protezione dei dati incluse nel contratto tra la società che aderisce al “Privacy Shield” e il terzo a cui i dati sono trasferiti;
- garanzie e obblighi di trasparenza rispetto all’accesso ai dati da parte del Governo degli Stati Uniti: gli Stati Uniti hanno fornito all’UE garanzie scritte, attraverso l’Ufficio del Direttore dell’intelligence nazionale, sulla circostanza che l’accesso delle autorità pubbliche a fini di sicurezza nazionale sarà soggetto a precisi limiti, garanzie e meccanismi di controllo, e sarà impedito l’accesso generalizzato ai dati personali. In particolare, in caso di accesso ai dati da parte delle autorità di intelligence è prevista la possibilità di ricorso ad un nuovo organismo (Ombudsperson) all’interno del Dipartimento di Stato, che sarà indipendente dai servizi di sicurezza nazionali. Gli impegni scritti del Governo saranno pubblicati nel U.S. Federal Register. Dai testi pubblicati sembra che le garanzie in questione si applichino a tutti i dati personali trasferiti negli Stati Uniti, anche attraverso meccanismi diversi dal “Privacy Shield”, come le clausole contrattuali standard approvate dalla Commissione europea (standard contractual clauses) e le Binding Corporate Rules (BCR);
- protezione effettiva dei diritti dei cittadini dell’UE con diverse possibilità di ricorso: i reclami presentati dai cittadini dell’UE dovranno essere gestiti dalle società che aderiscono al “Privacy Shield” entro 45 giorni. Inoltre, i cittadini UE avranno accesso a meccanismi di composizione extragiudiziale gratuita delle controversie (alternative dispute resolution) e potranno rivolgersi alle loro autorità nazionali di protezione dei dati, che collaboreranno con la Commissione federale per il commercio degli Stati Uniti (Federal Trade Commission) per assicurare che tutti i reclami vengano esaminati e risolti. Qualora una controversia non possa essere risolta mediante questi strumenti, si potrà far ricorso, in ultima istanza, ad un meccanismo di arbitrato, la cui decisione sarà esecutiva. Inoltre, le società possono impegnarsi a rispettare il parere delle autorità di protezione dei dati dell’UE (questa disposizione è obbligatoria per le società che trattino dati personali relativi alle risorse umane);
- meccanismo annuale di riesame congiunto: il meccanismo consentirà di monitorare il funzionamento del “Privacy Shield”, compresi gli impegni e le garanzie relative all’accesso ai dati a fini di contrasto della criminalità e finalità di sicurezza nazionale. La Commissione europea e il Dipartimento del Commercio degli Stati Uniti d’America procederanno al riesame, e inviteranno esperti nazionali di intelligence degli Stati Uniti e delle autorità europee di protezione dei dati a parteciparvi. La Commissione farà ricorso a tutte le altre fonti di informazioni disponibili, comprese le relazioni di trasparenza delle imprese in merito al livello delle richieste di accesso delle autorità pubbliche. La Commissione organizzerà inoltre una conferenza annuale sulla privacy con le organizzazioni non governative interessate e i vari stakeholders per discutere gli sviluppi nel settore della tutela della privacy negli Stati Uniti e il loro impatto sulla protezione dei dati dei cittadini dell’UE. In base al riesame annuale, la Commissione presenterà una relazione al Parlamento europeo e al Consiglio.
Prima della sua formale adozione, l’accordo sarà esaminato dal Gruppo di Lavoro Articolo 29 per la protezione dei dati (organismo consultivo indipendente composto da un rappresentante delle autorità nazionali di protezione dei dati personali, dal Garante europeo della protezione dei dati e da un rappresentante della Commissione europea), nella prossima riunione del 12 e 13 aprile 2016, e dal Comitato dei rappresentanti degli Stati membri, presieduto da un rappresentante della Commissione europea, previsto dall’Articolo 31 della Direttiva 95/46/CE sulla protezione dei dati personali.