L’accordo Privacy Shield ha lo scopo di garantire che le informazioni personali dei cittadini dell’Unione Europea godano della stessa protezione della privacy che avrebbero in Europa quando vengono trasferiti negli Stati Uniti. Nei casi in cui tali garanzie non siano applicabili, le informazioni devono rimanere nella UE. Il Privacy Shield sostituisce il precedente accordo Safe Harbor, abolito lo scorso ottobre dalla Corte di Giustizia dell’Unione Europea perché non forniva una adeguata protezione dei dati.

Come il suo predecessore, il Privacy Shield prevede che le aziende statunitensi, che vogliono elaborare i dati personali di cittadini europei, autocertifichino che rispetteranno un certo numero di principi.

Quando la Commissione Europea annunciò l’accordo lo scorso 2 febbraio, il Privacy Shield era poco più di un nome; ma lunedì sono stati rilasciati nuovi dettagli sulle trattative in corso con le autorità statunitensi.

Ecco cinque cose che le aziende devono sapere sui principi del Privacy Shield.

1. La sottoscrizione è volontaria; la conformità è obbligatoria

L’accettazione del Privacy Shield è volontaria, ma se un’azienda non firma l’accordo non può elaborare negli Stati Uniti i dati dei cittadini europei. Una volta che un’azienda ha firmato, il rispetto dei principi è obbligatorio e soggetto ai regolamenti della Federal Trade Commission degli Stati Uniti .

Le aziende partecipanti devono rendere pubbliche – e rispettare – le loro politiche sulla privacy. Coloro che non mantengono le loro promesse potranno essere sanzionati o esclusi dal Privacy Shield. Il Dipartimento del Commercio degli Stati Uniti pubblicherà l’elenco delle aziende che hanno aderito e l’elenco di quelle che sono state escluse.

2. La sicurezza nazionale trionfa sul Privacy Shield

Nei casi in cui i principi del Privacy Shield entrano in conflitto con le esigenze di sicurezza degli Stati Uniti o del diritto nazionale, ci si può dimenticare del Privacy Shield. L’articolo 5 dell’accordo dice: “Il rispetto di questi principi può essere limitato: (a) nella misura necessaria a soddisfare la sicurezza nazionale, l’interesse pubblico o le richieste delle forze dell’ordine; (b) per statuto, regolamento governativo o giurisprudenza che crea obblighi contrastanti o autorizzazioni esplicite”.

3. La sorveglianza di massa è ancora consentita

Anche se la sua apertura alla sorveglianza di massa delle comunicazioni e delle attività online dei cittadini europei è stata una delle questioni che ha fatto decadere il Safe Harbor, tali attività di sorveglianza sono ancora autorizzate dal Privacy Shield. Nel documento dell’Unione Europea si legge che “le autorità degli Stati Uniti affermano l’assenza di sorveglianza indiscriminata o di massa”, ma i documenti degli Stati Uniti che formano parte dell’accordo non affermano nulla del genere.

Gli Stati Uniti permettono ancora la vigilanza di massa per sei scopi: individuare e contrastare alcune attività di potenze straniere; antiterrorismo; contro-proliferazione; sicurezza informatica; rilevare e contrastare minacce agli USA o a forze armate alleate, e combattere le minacce criminali transnazionali, tra cui l’evasione delle sanzioni.

4. Le aziende avranno 45 giorni di tempo per rispondere

Se un cittadino europeo presenta un reclamo sul trattamento dei suoi dati personali ai sensi del Privacy Shield, le aziende avranno 45 giorni di tempo per rispondere alla denuncia. Se la risposta non è soddisfacente, il denunciante può ricorrere a una serie di altri meccanismi di risoluzione, tra i quali un servizio alternativo e gratuito di risoluzione delle controversie e il rivolgersi alle proprie autorità nazionali per la privacy.

5. Le trattative non sono ancora finite

La Commissione Europea ha anticipato i tempi annunciando il Privacy Shield il 2 febbraio. Molte delle promesse degli Stati Uniti, dalle quali dipende l’accordo, sono arrivate in forma scritta solo tre settimane dopo. Il 29 febbraio la Commissione ha pubblicato questi documenti, insieme a una bozza di “adequacy decision”, lo strumento giuridico attraverso il quale le disposizioni del Privacy Shield saranno dichiarate equivalenti alle protezioni offerte dalla normativa UE.

La bozza sull’adeguatezza è ancora impugnabile da parte dei governi e delle autorità per la protezione dei dati dei 28 Stati membri della UE, e deve essere rivisto annualmente per garantire che tutte le parti stiano sempre rispettando gli impegni su cui si fonda l’accordo. Se non lo rispettano, in teoria il trattato può essere sospeso.