Aggiornamento 28/11/2016
------------------------------------
Con il provvedimento n. 436 del 27 ottobre 2016, pubblicato sulla Gazzetta Ufficiale del 22 novembre 2016, l'Autorità Garante per la protezione dei dati personali ha autorizzato le società transnazionali e le imprese italiane al trasferimento dei dati personali verso le aziende locate negli Usa che hanno aderito al cosiddetto Privacy Shield. L’Autorità italiana si riserva di effettuare in qualsiasi momento controlli per verificare la liceità e la correttezza del trasferimento dei dati.

------------------------------------

Nonostante le critiche e le riserve al testo, il Privacy Shield (decisione 1250/2016) è stato adottato dalla Commissione europea il 12 luglio, ed è divenuto pienamente operativo il primo agosto (FAQ). 

Rimangono le perplessità in relazione alla conformità alla normativa europea, perplessità espresse dagli stessi Garanti europei. Anche il Working Party Article 29 ha espresso le sue preoccupazioni, stilando una lista di requisiti imprescindibili perché il nuovo accordo fosse legittimo. Secondo il WP29 un trattamento deve essere basato su regole chiare, precise e riconoscibili, occorre che la necessità e la proporzionalità, relativamente ai legittimi obiettivi perseguiti, sia dimostrata, occorre un ente indipendente, efficace e imparziale, per il controllo del trattamento e, infine, occorrono rimedi effettivi che consentano agli individui di tutelare i propri diritti dinanzi all’organismo indipendente. 
Dopo l’adozione del Privacy Shield, il WP29 ha, però, giustamente, evitato altre polemiche precisando di prendersi il tempo necessario per valutare l’impatto del nuovo accordo sui diritti dei cittadini. 

Il problema in realtà sembrerebbe essere non tanto lo strumento utilizzato per il trasferimento dei dati all’estero (Safe Harbor, Privacy Shield, oppure model clauses), ma piuttosto la legislazione Usa, che autorizza la raccolta e l’accesso indiscriminato ai dati degli europei da parte delle autorità di sicurezza, come una sorta di esenzione globale, per cui nessuna azienda americana al momento potrebbe garantire che il trattamento dei dati negli Usa avverrà in modo modo tale da tutelare i dati dei cittadini europei in maniera equivalente a quanto stabilito dalle norme europee. 

In ogni caso, al momento il Privacy Shield è stato adottato, quindi le aziende americane, che si sono trovate per parecchi mesi in una sorta di limbo legale, adesso possono usufruire di questo strumento per continuare il trasferimento dei dati negli Usa. Ovviamente occorre che le aziende si adeguino al nuovo framework
Dal primo agosto 2016 le aziende potranno aderire al Privacy Shield utilizzando il sito del Dipartimento del Commercio USA, il quale Dipartimento si occuperà di verificare se le loro politiche in materia di tutela di dati personali sono conformi al nuovo framework. Ricordiamo che, però, il Privacy Shield si fonda prevalentemente sull’autocertificazione da parte delle aziende. 

 

Informazioni e diritti

Le aziende che usufruiscono del framework dovranno aggiornare le informative-policy privacy, specificando quali dati trattano e quali sono le finalità del trattamento. Inoltre devono precisare se i dati vengono condivisi con terzi, chiarendo le finalità. 
È essenziale che siano specificati i diritti degli interessati, cioè come gli individui possono esercitare i loro diritti di accesso, rettifica, aggiornamento e cancellazione dei dati, nonché le modalità per presentare un reclamo. 
La politica sui reclami dovrà essere chiara e trasparente, i ricorsi dovranno essere gestiti in massimo 45 giorni dal ricevimento. 
Le aziende dovranno aderire a meccanismi di risoluzione delle controversie oppure impegnarsi a cooperare con i Garanti europei. Dovranno essere messi a disposizione diverse modalità (diretto verso l’azienda, a mezzo i Garanti europei in collaborazione con il Dipartimento del Commercio, all’FTC Usa) per presentare un reclamo, eventualmente anche tramite i Garanti europei che collaboreranno con il Dipartimento del Commercio USA. 

 

Limitazioni e finalità

L’azienda può utilizzare i dati solo in relazione alla finalità per la quale sono stati raccolti. Nel caso volesse utilizzarli per altre finalità che siano comunque compatibili con la finalità iniziale (“in a materially different way”), il Privacy Shield non impone di richiedere un nuovo consenso. In questa ipotesi, infatti, è sufficiente mettere a disposizione un chiaro meccanismo di opt-out. Solo se il trattamento riguarda dati sensibili occorre espressamente richiedere un nuovo consenso (opt-in). 
La stessa regolamentazione si applica nell’ipotesi di divulgazione di dati a terzi. 

 

Trasferimento a terzi 

Le aziende aderenti dovranno rivisitare i contratti con le terze parti alle quali girano i dati, in modo che queste garantiscano che i dati siano trattati per le sole finalità legate al consenso iniziale e che forniscano il medesimo livello di protezione dell’azienda. In caso contrario i contratti dovranno essere rescissi. 

Ovviamente le aziende saranno sottoposte a verifica annuale, per stabilire se rispettano i principi del framework. Le verifiche potranno essere anche realizzate in-house (una valutazione firmata da un funzionario aziendale) oppure da terze parti. 

La Commissione europea ha anche messo a disposizione una guida per i cittadini che spiega quali diritti hanno nei confronti delle aziende aderenti al Privacy Shield e come farli valere.