Il Privacy Shield è l’accordo che regolamenta il trasferimento di dati tra Unione europea e USA, in modo che i diritti fondamentali delle persone nell’Unione Europea cui il trasferimento dati personali venga effettuato negli Sati Uniti, possano essere garantiti.
Il precedente principio cosiddetto “Safe Harbour” era stato dichiarato invalido dalla Corte di Giustizia Europea il 6 ottobre 2015 e dunque tale nuovo accordo adottato il 12 luglio 2016 ha fatto sì che di fatto dal 1° agosto 2016 le imprese che possiedono i requisiti per certificarvisi possano evidenziarlo aderendo al portale del Dipartimento del Commercio Americano.
La Commissione europea e il Dipartimento del Commercio degli Stati Uniti si sono così date delle scadenze annuali per monitorare il reale funzionamento dello scudo, considerato di fatto uno strumento provvisorio in attesa di qualcosa di maggiormente efficiente.
Il rinnovo della decisione di adeguatezza dello scudo non era così scontato: tra gli argomenti più dibattuti in rete vi era la raccolta di dati personali di massa effettuate dalle agenzie americane ed il mancato rispetto dei diritti delle persone che non sono cittadini americani.
“Digital Rights Ireland” ha presentato un proprio ricorso contro il “Privacy Shield” ed il gruppo di lavoro dell’articolo 29 (WP29), l’organo consultivo composto da rappresentanti le autorità Garanti di ciascuno Stato membro dell’UE, ha inviato anche una denuncia alla Commissione europea.
Nonostante le premesse poco rosee dunque il cielo appare ora sereno poiché lo scudo ha passato la prima revisione avendo le reciproche autorità “esaminato tutti gli aspetti dell’amministrazione e dell’applicazione della Privacy Shield, comprese le questioni commerciali e nazionali in materia di sicurezza, nonché gli sviluppi legali più ampi degli Stati Uniti. […] Gli Stati Uniti e l’Unione europea condividono un interesse per il successo del “Framework” e rimangono impegnati a continuare la collaborazione per assicurare che funzioni come previsto”.
Ora a seguito del processo di revisione il gruppo di lavoro dell’articolo 29 (WP29) si potrà esprimere ma il Dipartimento Americano sembra sensibile al miglioramento incitando le imprese ad adempiere alla sostanza e non solo alla forma .
Com’è noto, il Privacy Shield non trae le proprie radici dal GDPR (Reg. 679/16) ma dalla direttiva sulla protezione dei dati personali (Dir 95/46/Ce)ed in particolare sulla decisione di adeguatezza nei flussi transatlantici.
Ciò significa che comunque le imprese che trasferiscono dati negli Stati Uniti dovranno in ogni caso verificare che i requisiti richiesti dal Regolamento in piena applicazione da maggio 2018 vengano comunque presi in opportuna considerazione.
