In data 2 febbraio 2016, l’Unione Europea (“UE”) e gli Stati Uniti hanno raggiunto un nuovo accordo in materia di trasmissione dei dati personali, il c.d. EU – U.S. Privacy Shield (“Privacy Shield”)[1]. Successivamente, in data 12 luglio 2016, la Commissione Europea ha formalmente approvato l’accordo, stabilendo che gli Stati Uniti forniscono un livello di tutela adeguato nel trasferimento dei dati personali ai sensi del Privacy Shield[2].

 

Il Privacy Shield fornisce una cornice legislativa per le imprese che operano con trasferimenti transatlantici di dati; le imprese statunitensi potranno beneficiare delle sue previsioni mediante una procedura di autocertificazione online – da completare con lo United States Department of Commerced – in seguito all’adozione dei c.d. Privacy Principles (“Principi”). A seguire una rassegna di carattere generale sui Principi:

  • Notice Principle: le imprese devono fornire specifiche informazioni ai titolari dei dati oggetto di trasmissione, tra cui: (i) tipo di dati raccolti e utilizzo; (ii) scopo della raccolta; (iii) procedura per domande/reclami. Un’impresa deve anche informare i singoli titolari, tra le altre cose: (i) dei propri diritti ai sensi del Privacy Shield; (ii) dei requisiti per rivelare/condividere i dati in seguito a una richiesta da parte della pubblica autorità; (iii) della propria responsabilità durante il trasferimento di dati a terze parti.
  • Choice Principle: i titolari dei dati possono decidere se condividere le proprie informazioni con terze parti, oppure se usarle per uno scopo materialmente differente da quanto inizialmente acconsentito. Le informazioni di carattere sensibile richiedono il consenso espresso dei titolari dei dati.
  • Security Principle: le imprese che creano, mantengono, usano o trasmettono dati personali, devono adottare misure di sicurezza ragionevoli e appropriate (“reasonable and appropriate”), tenendo conto dei rischi relativi al trasferimento e alla natura dei dati.
  • Data Integrity and Purpose Limitation Principle: i dati personali devono essere limitati a informazioni rilevanti per la trasmissione e la capacità delle imprese di processare i dati con modalità incompatibili con gli obiettivi prefissati viene ristretta. Infine, le imprese che processano/controllano dati devono assicurare che siano accurati, completi e attuali.
  • Access Principle: i titolari dei dati hanno il diritto di accedere alle proprie informazioni personali e possono correggere, modificare o eliminare quelle non accurate o trasmesse in violazione dei Principi.
  • Accountability for Onward Transfer Principle: un trasferimento di dati raccolti ai sensi del Privacy Shield e diretto a terze parti, può avvenire solo se: (i) limitato a uno scopo specifico; (ii) basato su un contratto (o altro accordo con l’impresa) che garantisca un livello di tutela pari ai Principi.
  • Recourse, Enforcement and Liability Principle: le imprese devono adottare: (i) un meccanismo per assicurare la conformità ai Principi; (ii) una procedura di ricorso per i titolari di dati trasmessi in non conformità; (iii) eventuali rimedi. Infine, le imprese sono soggette ai poteri di investigazione e controllo della Federal Trade Commission e di altre agenzie statunitensi incaricate di far rispettare i Principi.

 

Bisogna infine precisare che seppur la procedura di autocertificazione per unirsi al Privacy Shield sia volontaria, una volta che un’impresa si impegni a conformarsi ai suoi requisiti, tale impegno potrà essere fatto rispettare coattivamente ai sensi del diritto statunitense. Conseguentemente, è di fondamentale importanza che le imprese verifichino il rispetto di tutti i requisiti richiesti dal Privacy Shield in modo da poter risolvere eventuali incompletezze, prima di procedere.

 

[1] Il Privacy Shield ha sostituito il c.d. Safe Harbor Privacy Principles dopo che la decisione della Commissione Europea 2000/520/CE che confermava l’ammissibilità di quest’ultimo è stata dichiarata invalida dalla Corte di Giustizia Europea nel caso Maximillian Schrems v. Data Protection Commissioner [Caso C-362/14]. Bisogna aggiungere che il 25 maggio 2018 entrerà in vigore la c.d. General Data Protection Regulation con l’obiettivo di rafforzare la protezione dei dati personali per i cittadini europei; al momento della sua entrata in vigore, i trasferimenti di informazioni tra Stati Uniti e Unione Europea saranno soggetti a misure più stringenti e sanzioni più severe.

[2] Per approfondimenti: http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision_en.pdf.