Privacy Shield: info utili per chi si avvale di fornitori di servizi in USA soprattutto cloud
A settembre sarà valutata la prima revisione dell’accordo Privacy Shield dalla Commissione EU congiuntamente alla Federal Trade Commission, al Dipartimento del Commercio e alle amministrazioni statunitensi coinvolte. A tale fine, il Gruppo di lavoro ex articolo 29 ha già comunicato le prime raccomandazioni alla Commissione EU.
Dopo un lungo ed intenso braccio di ferro tra la Commissione EU e le Autorità Garanti della privacy, nel luglio 2016 il Privacy Shield è stato approvato, sostituendo il Safe Harbour.
Con il Privacy Shield viene riconosciuto come “adeguato” il livello di protezione dei dati personali trasferiti dall’Unione Europea alle organizzazioni e aziende residenti negli USA e certificate ai sensi dell’agreement.
Non tutte le imprese americane rientrano però in quelle certificate dal Privacy Shield: le società private, infatti, possono accreditarsi presso il Dipartimento del Commercio degli USA inviando volontariamente (meccanismo del cd. self complying) una autocertificazione in cui garantiscono di rispettare i principi e i precetti contenuti nel documento. Sarà poi compito del Dipartimento del Commercio degli Stati Uniti verificare se le policy aziendali rispettino gli standard richiesti dall’Unione Europea.
Ciò significa che il trasferimento automatizzato dei dati dai Paesi dell’UE agli Stati Uniti è lecito solo quando le imprese statunitensi che ricevono i dati hanno aderito al Privacy Shield; in tutti gli altri casi il titolare del trattamento, per non violare le norme del Regolamento EU 679/2016 (“Regolamento”) sul trasferimento di dati all’estero, non potrà trasmettere automaticamente i dati ma dovrà richiedere il consenso dell’interessato o servirsi di clausole contrattuali standard o di binding corporate rules, quando permesso dall’assetto societario, oppure ancora seguire le altre indicazioni presenti agli articoli 46, 47, 48 e 49 del Regolamento.
Consigliamo quindi a chi usufruisce di servizi mediante Internet, soprattutto di cloud computing, di verificare sempre l’effettiva iscrizione al Privacy Shield dei provider con cui si collabora aventi sede negli Stati Uniti.
La verifica può essere effettuata tramite il comodo motore di ricerca fornito dal Governo statunitense (Dipartimento del Commercio) al seguente link: https://www.privacyshield.gov/list.
In caso di trasferimento a soggetti statunitensi non aderenti allo Shield, compiuto senza attuare gli adempimenti necessari sopra descritti, si incorrerà nelle sanzioni amministrative previste dall’articolo 83 del Regolamento.
