In data 12 luglio 2016 la Commissione Europea ha adottato un nuovo Accordo di adeguatezza ex art. 26 della dir 96/45/CEE per il trasferimento dei dati dalla UE agli Stati Uniti.
Il nuovo accordo, chiamato “Privacy Shield”, sostituisce il “Safe Harbour” dichiarato invalido dalla sentenza Corte di Giustizia delle Comunità Europee 5 ottobre 2015 Causa C-362/14 (c.d. Caso Schrems)
Il nuovo accordo – sul quale il Gruppo di Lavoro 29 aveva espresso molto perplessità – entrerà immediatamente in vigore.
Più esattamente le aziende americane dal 1° agosto 2016 potranno autocertificare al Dipartimento del Commercio USA il rispetto del nuovo Accordo.
Tale autocertificazione che attesta la compliance al nuovo Accordo consente alle aziende europee di trasferire i dati tra Europa ed USA senza il consenso specifico dell’interessato (art. 26 della Dir 95/46/CEE) e senza applicare le clausole contrattuali standard stabilite dalla Comunità Europea
A) PUNTI CHIAVE
- Obblighi in capo alle aziende americane:
Il Privacy Shield impone obblighi di tutela del dato in capo alle società americane che ricevono i dati dei cittadini europei. In particolare, l’Accordo prevede verifiche periodiche delle pratiche di protezione dei dati delle aziende, condizioni più rigorose per il trasferimento successivo dei dati personali e restrizioni per conservazione dei dati.
- Sorveglianza del governo americano:
L’Accordo prevede una maggiore sorveglianza e controllo da parte delle autorità degli Stati Uniti, tra cui la Federal Trade Commission ( “FTC”), il Dipartimento del Commercio e il Dipartimento dei Trasporti.
- Difensore Civico:
Ricorso nel settore della sicurezza nazionale sarà disponibile per gli individui attraverso il nuovo difensore civico, che sarà indipendente dalla comunità di intelligence degli Stati Uniti.
B) APPLICAZIONE PRATICA
Il Privacy Shield opera attraverso un sistema di autocertificazione.
Le aziende che intendono avvalersi dell’Accordo devono autocertificare la loro compliance ai requisiti di protezione dei dati stabiliti nell’ambito del Privacy Shield e devono registrarsi in una lista specifica gestita dal Dipartimento del Commercio Americano. Tale Dipartimento manterrà poi un elenco aggiornato delle organizzazioni certificate sul suo sito web.
In particolare, sarà tenuto a monitorare e verificare che le politiche sulla privacy delle aziende siano effettivamente in linea con i principi stabili nell’accordo.
Tale verifica dovrà avvenire attraverso procedure di follow-up, effettuare in auto-valutazione e/o tramite controlli esterni di conformità.
C) MECCANISMI DI RICORSO A FAVORE DEGLI INTERESSATI
Al fine di rafforzare la protezione dei cittadini europei, il sistema Privacy Shield crea una serie di meccanismi di ricorso che possono essere attivati dagli interessati
1) Denuncia diretta alla società americana
E’ prevista ed espressamente incoraggiata la possibilità di prendere contatto diretto con l’azienda americana per avere notizie dei propri dati: la società deve rispondere alla persona entro 45 giorni.
2) Risoluzione alternativa delle controversie ( ‘ADR’):
le aziende americane sono tenute ad indicare un organismo di ADR per la risoluzioni di possibili controversi con il cittadino europeo.
Quest’ultimo, se crede, può attivare gratuitamente l’organismo di ADR che è tenuto ad svolgere una istruttorie e a cercare una soluzione al reclamo.
3) Reclamo in Europa
l’interessato può anche presentare il reclamo di fronte ad un Data Protection Authority in Europea che provvederà ad attivare i contatti con il Dipartimento di Commercio Americano o la Federal Trade Commission
4) Federal Trade Commission:
E’ inoltre prevista la possibilità di presentare reclamo direttamente di fronte alla FTC
5) Arbitrato:
Da ultimo prevista la possibilità di attivare un arbitrato – la cui decisione sarà vincolante nei confronti dell’azienda americana. L’arbitrato sarà deciso dal Privacy Panel Shield, una giuria composta da un pool di almeno 20 arbitri scelti dal Dipartimento del Commercio americano e dalla Commissione Europea in base alla loro indipendenza, integrità e competenza nella normativa UE sulla protezione dei dati.
ISTRUZIONI PER L’USO FINALI
Alcune considerazioni finali.
Il trasferimento dei dati tra la UE e gli USA impatta fortemente anche in ambito sanitario.
Oltre, infatti, al Provvedimento Garante Privacy10 aprile 2014 sul trattamento non consentito di dati sanitari raccolti tramite apparecchiature diagnostiche e poi illecitamente trasferiti in America, è noto a chi opera in ambito sanitario che sono numerosissimi i casi di dati che viaggiano tra l’Europa e l’America: basti pensare a molti lavori di ricerca e sperimentazione, nonché alla realizzazione in America di manufatti in 3D i cui dati sono raccolti tramite scanner in Europa.
Cosa occorre fare allora?
Questi i nostri suggerimenti:
1) verificare se i dati sanitari di cui si è Titolare vengono trasferiti in USA;
2) capire dove vengono trasferiti e soprattutto chi li detiene (cioè chi è il Responsabile dei dati);
3) verificare dopo il 1° agosto 2016 se il Responsabile dei dati è iscritto nella lista privacy Shield che verrà pubblicata sul sito del Dipartimento del Commercio Americano (Department of Commerce);
4) ove il Responsabile non fosse inserito rivolgersi immediatamente alle stesso chiedendo se intende aderire al Privacy Shield ed eventualmente in che tempi;
5) regolamentare il trasferimento del dato, oltre che l’attività svolta in America, in modo da tutelarsi anche contrattualmente in caso di problematiche legate al corretto trattamento dati; per trattamenti di dati particolarmente delicati (so pensi al dato genetico o biometrico) sarebbe auspicabile una sorveglianza sul fornitore attraverso, eventualmente, una periodica reportistica o attraverso audit specifici.
Se il Responsabile dei dati non risulta iscritto nella lista del Privacy Shield (e non intende farlo in un tempo ragionevole) occorre attivarsi immediatamente a verificare
- la presenza del consenso specifico dell’interessato al trasferimento
oppure
- imporre al proprio Responsabile americano un contratto che contenga la Clausole Standard.
Da ultimo si precisa che in carenza il trasferimento dei dati potrà essere considerato trattamento illecito con possibile applicazione della sanzione da € 10.000 a € 2.400.00 (art. 162-bis dlgs 196/2003)
Tratto da: Focus Privacy e Nuove Tecnologie – 21 Luglio 2016 – Studio Legale Stefanelli
