Il Garante per la privacy ha autorizzato il trasferimento di dati personali dal territorio italiano verso le organizzazioni presenti negli Stati Uniti che figurano nell’elenco degli aderenti al “Privacy Shield”. Nel frattempo, la Corte di Giustizia Europea è chiamata a verificarne la validità.
La nuova autorizzazione (provvedimento del 27 ottobre 2016, pubblicato in Gazzetta Ufficiale il 22 novembre 2016) sostituisce quella basata sull’accordo “Safe Harbor”, che regolava il trasferimento dei dati verso gli Stati Uniti, dichiarato invalido dalla Corte di Giustizia dell’Unione Europea il 6 ottobre 2015.
La Corte aveva bocciato il “Safe Harbor” accogliendo il ricorso di un cittadino austriaco, Max Schrems, che, muovendo dalle rivelazioni di Edward Snowden sulle violazioni al diritto alla riservatezza da parte della National Security Agency americana, riteneva il diritto e le prassi statunitensi non sufficienti alla protezione dei dati trasferiti dall’Europa.
Con il nuovo accordo, le società private possono accreditarsi per il Privacy Shield presso il Dipartimento del Commercio degli Stati Uniti che verificherà se le policy aziendali sono in linea con lo standard di protezione dei dati richiesta dall’Unione Europea.
Con il provvedimento del Garante, l’Italia si conforma alla decisione della Commissione europea del 12 luglio 2016 che ha riconosciuto al nuovo accordo denominato “EU-U.S. Privacy Shield” un livello adeguato di protezione dei dati personali trasferiti dall’Unione europea ad organizzazioni residenti negli Stati Uniti “certificate” ai sensi dell’accordo.
Il Garante ha specificato che l’Autorità italiana si riserva di effettuare in qualsiasi momento controlli per verificare la liceità e la correttezza del trasferimento dei dati e di ogni operazione ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice privacy. La Commissione, da parte sua, sottoporrà a monitoraggio il funzionamento dello “Scudo” per verificare se gli Stati Uniti continuino a garantire un livello di protezione adeguato. Le verifiche avverranno a cadenza annuale, mentre una, in particolare, è prevista a seguito dell’entrata in vigore del Regolamento sulla protezione dei dati.
Tuttavia, a distanza di pochi mesi dall’entrata in vigore del testo, la Corte di Giustizia europea è stata chiamata a pronunciarsi sull’adeguatezza della tutela assicurata dal Privacy Shield. Infatti, alcune società attive nel campo digitale e operanti trasferimenti di dati personali all’estero sostengono che il Privacy Shield non offra un adeguato livello di protezione.
In particolare, i ricorrenti sostengono che lo “scudo” UE-USA per la privacy non recepisca integralmente i princìpi e i diritti a tutela della protezione dei dati personali contenuti nella direttiva 95/46/CE (che – si ricorda – sarà abrogata a decorrere dal 2018 ad opera del recente Regolamento UE 679/2016) e, conseguentemente, non assicuri in modo adeguato i diritti dei cittadini europei. Nei ricorsi si contesta inoltre che l’accordo non esclude l’accesso indiscriminato alle comunicazioni elettroniche da parte delle autorità straniere così violando il diritto al rispetto alla vita privata, alla protezione dei dati e la libertà di espressione di cui alla Carta dei diritti fondamentali dell’Unione europea (per un approfondimento sul tema si rimanda a QUESTO post).
Come precedentemente evidenziato su questo blog, la decisione nel caso Schrems segna un ulteriore passo verso l’affermazione di un modello europeo contrapposto a quello statunitense e la primazia del controllo giudiziario sugli accordi UE/USA. Per offrire una ampia analisi dell’attuale contesto giuridico, è stato pubblicato il volume “La protezione transnazionale dei dati personali dai “safe harbour principles” al “privacy shield””, curato da Giorgio Resta e Vincenzo Zeno-Zencovich, in cui dodici studiosi analizzano la nuova decisione sotto molteplici aspetti giuridici, prospettando interpretazioni e prospettive anche alla luce del “Privacy Shield” che dovrebbe governare la circolazione trans-atlantica dei dati.
Nel capitolo “La giurisprudenza della Corte di Giustizia in materia di dati personali da Google Spain a Schrems” Giusella Finocchiaro approfondisce le tematiche alla base delle sentenze della Corte di Giustizia.
Il volume è pubblicato sotto licenza “creative commons” ed è dunque liberamente consultabile e disponibile per il download gratuito a QUESTA pagina.
Aggiungi commento