Skip to content Skip to sidebar Skip to footer

Privacy Shield: il nuovo meccanismo per il trasferimento dei dati personali verso gli Stati Uniti

Dal 1 agosto, le società che intendono trasferire i dati verso gli Stati Uniti hanno uno strumento in più. La Commissione Europea e il Dipartimento del Commercio degli Stati Uniti, infatti, hanno raggiunto un accordo, detto Privacy Shield, circa il trattamento dei dati personali dei cittadini europei importati negli U.S.A., che garantisce un livello di tutela considerato adeguato rispetto alla normativa europea e va a sostituire il precedente accordo di Safe Harbour. Si tratta di una interessante novità, in quanto il trasferimento dei dati, è possibile senza utilizzare i più complessi meccanismi delle BCR e delle model clauses. Le società americane possono infatti autocertificare i propri trattamenti, dichiarandone la conformità rispetto ai principi contenuti nell’accordo Privacy Shield, e chiedere la registrazione presso il relativo registro gestito dall’International Trade Administration del Dipartimento Americano del Commercio.  Queste, in sintesi, le novità del Privacy Shield rispetto al precedente regime:
– è prevista l’autocertificazione annuale delle imprese aderenti al Privacy Shield e la pubblicazione di una privacy policy sul loro sito web;
– sono previste verifiche periodiche per accertare il rispetto effettivo delle regole contenute nell’accordo Privacy Shield da parte delle imprese che hanno volontariamente deciso di aderire a tale sistema;
– in caso di accertamenti negativi, sono previste sanzioni ai danni della società che ha tenuto tale scorretto comportamento o la sua cancellazione dall’elenco degli aderenti;
– in caso di ulteriore trasferimento di dati dalla società aderente al Privacy Shield ad un terzo soggetto, è previsto l’obbligo per tali soggetti di  stipulare un contratto (o, nell’ambito dei trasferimenti infragruppo, di altri accordi equivalenti quali le BCR), avente ad oggetto il trattamento dei dati personali, che garantisca lo stesso livello di protezione accordato dai principi dettati dal Privacy Shield. Qualora il terzo non garantisca il medesimo livello di protezione offerto dal Privacy Shield è inoltre prevista la responsabilità solidale dell’importatrice;
– sono state introdotte delle limitazioni all’accesso ai dati da parte del Governo degli Stati Uniti, con l’impegno formale della Amministrazione USA a contenere tali accessi entro limiti, garanzie e meccanismi di controllo specifici e definiti;
– sono stati introdotti degli strumenti di tutela giuridica effettivi:

  • gli interessati, infatti, potranno rivolgersi direttamente alla società importatrice per ricevere informazioni circa il  trattamento dei loro dati, cui occorrerà dar riscontro entro 45 giorni;
  • è stato introdotto un meccanismo di ADR gratuito;
  • gli interessati, inoltre, potranno rivolgersi al proprio Garante Privacy che collaborerà con il Department of Commerce e la Federal Trade Commission per la definizione della contestazione sollevata e rimasta irrisolta;
  • qualora i precedenti strumenti non abbiamo portato alla risoluzione del comportamento illecito, gli interessati potranno rivolgersi direttamente al Privacy Shield Panel per ottenere, se gli altri strumenti non sono serviti, una decisione esecutiva ai danni della società importatrice attraverso un meccanismo di arbitrato;
  • da ultimo, è stata introdotta la figura dell’Ombudsperson che consente agli interessati di promuovere una contestazione nei confronti delle Pubbliche Amministrazioni Statunitensi relativamente ad eventuali accessi effettuati dalle stesse in violazione dei diritti degli interessati.

L’utilizzo del Privacy Shield, in ogni caso, non esime la società esportatrice dalla necessità di regolamentare tale flusso di dati verso l’estero tanto nei contratti stipulati con le società statunitensi terze importatrici quanto nei rapporti inter-company, per il caso in cui la società importatrice faccia parte del proprio gruppo societario (es. casa madre americana).

Avv. Chiara Agostini

Avv. Dario Cerbone

 

Leave a comment

La “Certificazione B Corporation” è un marchio che viene concesso in licenza da B Lab, ente privato no profit, alle aziende che, come la nostra, hanno superato con successo il B Impact Assessment (“BIA”) e soddisfano quindi i requisiti richiesti da B Lab in termini di performance sociale e ambientale, responsabilità e trasparenza.

Si specifica che B Lab non è un organismo di valutazione della conformità ai sensi del Regolamento (UE) n. 765/2008 o un organismo di normazione nazionale, europeo o internazionale ai sensi del Regolamento (UE) n. 1025/2012.

I criteri del BIA sono distinti e autonomi rispetto agli standard armonizzati risultanti dalle norme ISO o di altri organismi di normazione e non sono ratificati da parte di istituzioni pubbliche nazionali o europee.