Privacy Shield, via libera alla tutela dei dati degli utenti italiani

Tecnologia
USA and Europe flag

Tra i principi più rilevanti del nuovo “scudo” quello sull’informativa, sull’integrità dei dati e la limitazione delle finalità e sul ricorso, controllo e responsabilità

Nuovi principi e nuove regole per il trasferimento dal nostro Paese dei dati personali verso le aziende presenti negli Stati Uniti. Il Garante della Privacy italiano ha dato esecutività al nuovo accordo siglato tra Ue e Usa in tema di riservatezza dei dati, denominato Privacy Shield, che sostituisce quello precedente, il Safe Harbor, dichiarato invalido dalla sentenza Schrems della Corte di Giustizia dell’Unione Europea. Un cambiamento volto a rafforzare le tutele degli utenti italiani ed europei a fronte della raccolta e trattamento dei dati da parte delle grandi multinazionali di internet americane.

È stato il ricorso di un giovane attivista austriaco, Maximillian Schrems, da sempre impegnato sul fronte della tutela della privacy a sollevare nel 2013 la questione, avviando un’azione legale contro Facebook Irlanda, sostenendo che i suoi diritti venivano violati dai programmi di sorveglianza americani. Il 2013, infatti, è l’anno in cui Edward Snowden, l’ex tecnico della Cia e collaboratore dell’Agenzia di sicurezza nazionale americana (Nsa), denunciava l’esistenza di attività di sorveglianza proprio da parte della Cia e della Nsa. Tali attività venivano svolte sui dati delle major del web e dell’Ict come Facebook, Google, Apple, Microsoft.

Ecco, quindi, che anche alla luce delle rivelazioni fatte da Snowden il più alto organo giudiziario europeo ha dato ragione a Schrems. Una decisione storica, poiché le condizioni poste dal Safe Harbor alle aziende americane vengono ritenute inadeguate. La sentenza invalida l’accordo che dal 1998 consente il trasferimento dei dati negli Stati Uniti e costringe le istituzioni europee e americane a stipulare un nuovo accordo più restrittivo.

Si è passati così dall’“Approdo Sicuro” negli Usa dei dati e delle informazioni raccolte in Europa alla costruzione di uno “Scudo” di principi con il quale l’Ue intende innalzare il livello delle tutele a garanzia dei diritti di riservatezza dei suoi cittadini. Lo scudo si fonda su un sistema di autocertificazioni in base al quale le organizzazioni statunitensi si impegnano a rispettare un insieme di principi in materia di privacy. Questi principi rappresentano, quindi, un’arma di difesa in più che si aggiunge alle normative nazionali ed europee, poiché «si applicano al trattamento dei dati personali da parte di organizzazioni statunitensi esclusivamente se il trattamento da parte dell’organizzazione esula dall’ambito di applicazione della normativa dell’Unione».

Tra i principi più rilevanti quello sull’informativa, sull’integrità dei dati e la limitazione delle finalità e sul ricorso, controllo e responsabilità.
Con il primo l’organizzazione è tenuta ad informare gli utenti sul tipo di dati raccolti, le finalità del trattamento, il diritto di accesso e di scelta. Una sorta di consenso informato che mette gli utenti al corrente sul perché e sul come della raccolta e del trattamento, nonché sui loro diritti.
Con il secondo l’organizzazione può raccogliere soltanto i dati rispondenti alle finalità dichiarate e ne impedisce un utilizzo incompatibile alle stesse.
Il terzo obbliga l’organizzazione a predisporre un meccanismo di ricorso per trattare i reclami in caso di inosservanza dei principi. A tal proposito deve indicare chiaramente un referente, interno o esterno. Secondo questo principio, inoltre, l’organizzazione è responsabile anche rispetto all’intervento di soggetti terzi che intervengono nel trattamento dei dati, ovunque essi siano ubicati.

Con la pubblicazione di oggi in Gazzetta ufficiale il garante italiano ha dato, quindi, attuazione al nuovo sistema di tutele e garanzie previsto dal Privacy Shield, riservandosi comunque di effettuare in qualsiasi momento controlli per verificare la liceità e la correttezza del trasferimento dei dati e di ogni operazione ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice della privacy.
La Commissione, da parte sua, sottoporrà a monitoraggio il funzionamento dello “Scudo” per verificare se gli Stati Uniti continuino a garantire un livello di protezione adeguato ai dati personali trasferiti dall’Unione europea.
Le verifiche avverranno a cadenza annuale, mentre una, in particolare, è prevista a seguito dell’entrata in vigore del Regolamento sulla protezione dei dati.

Vedi anche

Altri articoli