Privacy Shield e Regolamento Europeo sulla Protezione dei Dati

Aziende | Nadia Martini | 18/03/2016 12:48

Diventa sempre più difficile per i giganti Usa dell'hi-tech utilizzare i dati degli utenti europei

Condivido il contenuto del mio articolo appena pubblicato su Milano Finanza del 17.3.2016, p. 18.

Si sta molto discutendo negli ultimi tempi di trasferimento dati dalla UE in USA.

A seguito infatti della Sentenza della Corte di Giustizia del 6.10.2015, è stata dichiarata invalida la decisione n. 2000/520 con cui la Commissione Europea ha autorizzato i trasferimenti dati in USA, ritenendo che gli Stati Uniti garantiscano un adeguato livello di protezione aderendo al protocollo Safe Harbour.

La delegittimazione del provvedimento ha messo in affanno le aziende, per primi i giganti dell’Hi-Tech, che – sulla scorta di queste norme - possono oggi trasferire dati solo usando modalità più complesse, come le Standard Contractual Clauses autorizzate dalla Commissione, o chiedendo l’approvazione di Bindind Corporate rules alla Lead authority comunitaria, o infine domandando il consenso ad ogni singolo interessato.

Le autorità europee e americane si sono quindi preoccupate di trovare una valida alternativa, rinvenuta recentemente nel Privacy Shield. L’accordo, di cui si stanno ancora finalizzando i contenuti, prevederà:

- che le imprese statunitensi che importano dati dall’Europa si impegnino a rispettare obblighi severi sulle modalità di trattamento e sul rispetto dei diritti individuali. Il Dipartimento del commercio controllerà che le imprese pubblichino i loro impegni e la Federal Trade Commission li farà rispettare;

- che gli USA garantiscano per iscritto all’UE che l’accesso delle autorità pubbliche per fini di sicurezza nazionale ai dati sarà soggetto a chiare limitazioni, garanzie e meccanismi di sorveglianza. Gli Stati Uniti hanno escluso la sorveglianza indiscriminata di massa sui dati trasferiti negli Stati Uniti;

- che ogni cittadino che ritenga che i suoi dati siano stati utilizzati scorrettamente avrà varie possibilità di ricorso e tutela sia in USA che in Europa. Le imprese dovranno rispondere alle denunce entro termini precisi. Le autorità europee potranno presentare denunce al Dipartimento del commercio e alla Federal Trade Commission.

Insomma, un nuovo accordo, che imporrà regole nuove e più stringenti di quelle del Safe Harbour, ma che legittimerà, senza bisogno di ulteriori clausole o autorizzazioni, il trasferimento dati in USA.

Ma il Privacy Shield sarà davvero utile per quei giganti Hi-Tech che hanno per primi sollevato il problema?

No, se il nuovo Regolamento Europeo sulla Protezione dei Dati entrerà in vigore nella formulazione approvata nella versione definitiva dal Parlamento Europeo e dalla Commissione Europea il 15 dicembre 2015.

Cosa che, come si vocifera nei corridoi, avverrà nell’entrante primavera.

Infatti, tale provvedimento, che sostituirà la direttiva 95/46/EC e le normative nazionali - tra cui il nostro D.Lgs. 196/2003 - amplia all’art. 3 il campo di applicazione della normativa privacy, stabilendo che le nuove regole saranno applicabili non soltanto agli enti che hanno sede in Europa e che trattino i dati nella UE o extra UE, ma anche a tutti quelli che, pur stabiliti extra UE, offrano beni e servizi nella UE o effettuino attività di controllo del comportamento di utenti UE.

In altre parole, i soggetti che - come Amazon - gestiscono piattaforme e-commerce locate extra UE proponendo servizi o beni a utenti UE, o che – come Google – profilino sistematicamente e regolarmente gli utenti, dovranno ottemperare al nuovo Regolamento.

Con conseguente inoperatività del Privacy Shield per questi e altri giganti dell’Hi-Tech.

Sarà meglio? No di certo.

Il Regolamento infatti impone a questi soggetti di ottemperare a regole ben più severe e stringenti di quelle del Privacy Shield. Anzitutto, ogni attività di marketing, profilazione o trattamento dati in genere necessiterà di una idonea informativa e un consenso preventivo espresso dell’interessato. Inoltre, questi soggetti dovranno adottare e documentare di aver adottato misure di sicurezza idonee a proteggere i dati degli utenti UE, effettuare una valutazione di impatto sul trattamento dei dati e valutarne i rischi. Tutte le volte che effettuino un controllo sistematico e regolare del comportamento degli utenti (cosa che avviene, ad esempio, nel caso di sistematica profilazione), dovranno poi nominare un Privacy Officer – ossia una persona, esterna o interna all’azienda che abbia effettivamente tutte le competenze necessarie in ambito privacy. Infine, dovranno permettere all’utente – circostanza che impatta maggiormente per Google - di esercitare il proprio diritto all’oblio, cancellandone i dati dal web. In ultimo, e non per ultimo, subiranno sanzioni fino al 4% del fatturato annuo in caso di violazione di queste norme.

Insomma, con l’approvazione del Regolamento, i giganti dell’Hi-Tech passeranno dalla padella (il Privacy Shield) alla brace (il Regolamento).

 

Fonte:

Milano Finanza del 17.3.2016, p. 18.

 

I Correlati

I Correlati

Widget: 91798 (categoria) non supportato