La Commissione europea ha finalmente approvato il cosiddetto E.U.-U.S. Privacy Shield che sostituisce il programma Safe Harbor per regolare il trasferimento dei dati personali negli Stati Uniti. Ma per quanto tempo reggerà? E quali effetti avrà sulle aziende e sui cittadini? Il rischio è che a pagare siano tutti, con un ritardo nello sviluppo di servizi innovativi. Vediamo perché.
L’invalidazione del Safe Harbor
Nell’ottobre del 2015 la Corte di Giustizia europea aveva invalidato il programma Safe Harbor che era l’autocertificazione ai sensi della quale la maggior parte delle società americane trasferivano i dati personali raccolti nell’Unione europea negli Stati Uniti. Si tratta del famoso caso relativo ad un utente Facebook, Maximillian Schrems, che si era preoccupato della sorte dei propri dati personali una volta trasferiti da Facebook nel proprio headquarter negli Stati Uniti.
L’invalidazione del programma Safe Harbor creò settimane di assoluto panico tra le società americane che dovettero velocemente adottare altre soluzioni consentite dalla normativa privacy europea per disciplinare il trasferimento dei dati personali. E infatti la maggior parte delle società americane adottarono le cosiddetta “clausole contrattuali tipo“. Tuttavia, vista l’importanza sia per l’Unione europea che per gli Stati Uniti del libero trasferimento dei dati personali tra di loro, frenetiche trattative iniziarono per l’identificazione di una soluzione alternativa al Safe Harbor.
L’approvazione del Privacy Shield
Dopo mesi di discussioni la bozza del cosiddetta “Privacy Shield” è stata svelata lo scorso marzo e ha generato più critiche che consensi. Il “nocciolo del contendere” è sempre lo stesso che ha portato all’invalidazione del Safe Harbor. Una volta che i dati personali relativi ad individui situati nell’Unione europea sono trasferiti negli Stati Uniti
· è necessario limitare la possibilità per le autorità americane di accedere indiscriminatamente agli stessi e
· bisogna garantire che gli obblighi imposti dal Privacy Shield siano imposti anche nei trasferimenti dei dati successivi
per evitare che una volta usciti i dati dall’Unione europea si verifichi una sorta di effetto “far west” con un utilizzo incontrollato dei dati.
Almeno nelle intenzioni della Commissione europea queste condizioni si considerano soddisfatte con la nuova versione del Privacy Shield che è stata ora approvata dalla Commissione europea. Si tratta di un sistema di autocertificazione rispetto a principi di compliance privacy che ora risultano rinforzati rispetto alla precedente versione. Viene ora attribuito agli individui il diritto di contestare la violazione della loro privacy di fronte agli organi della società, tramite forme di “alternative dispute resolution” e di fronte ai Garanti privacy. E viene garantito che le autorità americane limiteranno l’accesso ai dati personali di individui situati nell’Unione europea.
► Cosa cambia per le aziende?
Le aziende “colpite” sono quelle americane, trasversalmente in ogni settore.
Le modifiche apportate non sembrano aver “calmato gli animi“. La sensazione generale è che il Privacy Shield potrebbe essere contestato alla prima occasione utile, in quanto alcuni ritengono che non abbia colmato il “gap” tra il trattamento dei dati personali quanto raccolti nell’Unione europea e il loro destino una volta trasferiti negli Stati Uniti.
La domanda è quindi se, data l’attuale incertezza, le società americane decideranno di dismettere l’attuale soluzione di compliance privacy che nella maggior parte dei casi si basa sull’adozione delle c.d. “clausole contrattuali tipo” e di abbracciare il Privacy Shield. Del resto la scelta di non adottare seguire i dettami del Privacy Shield può essere dettata anche da motivi di carattere pratico, visto che le sue regole ed obblighi sembrano più complesse ed onerose di quelle imposte dalle clausole contrattuali tipo.
L’approvazione del Privacy Shield potrebbe essere quindi una “vittoria di Pirro” se nessuna società (o un numero molto limitato di società) procederà all’autocertificazione della conformità allo stesso. Ma anche soluzioni quali le clausole contrattuali tipo potrebbero non essere sufficienti visto che il Garante privacy irlandese ne ha contestato la validità per gli stessi motivi che hanno portato all’invalidazione del Safe Harbor.
L’attuale scenario è molto incerto. Alcune società americane stanno già spostando i server dedicati al proprio business europeo nell’Unione europea. Tuttavia, se questa è una soluzione gestibile – seppur costosa – per le multinazionali americane potrebbe non esserlo per più piccole/medie società, incluse soprattutto le start up. E ciò ancora più vero tenendo conto che il regolamento europeo sul trattamento dei dati personali di recente adozione aumenterà le sanzioni per la violazione della privacy fino al 4% del fatturato mondiale.
In un periodo in cui la digital revolution è in fermento con soprattutto l’Internet of Things e il Fintech, il rischio è quindi che il prezzo di una normativa europea privacy maggiormente onerosa sarà pagato dai cittadini europei che non potranno godere di servizi innovativi o li riceveranno con notevole ritardo!
* Giulio Coraggio è capo del Technology Sector dello Studio Legale DLA Piper