Massimo Proto, Ordinario di Diritto privato, è di ruolo presso l’Università degli Studi Link…
Privacy Shield, Il Parlamento Ue vuole sospenderlo ‘Gli Usa non fanno nulla per la Data Protection’
(via www.key4biz.it) di Paolo Anastasio Il Parlamento Europeo ha chiesto alla Commissione Europea di sospendere il Privacy Shield, lo scudo che dovrebbe garantire la Data Protection di cittadini e aziende europee nei confronti degli Usa. La risoluzione depositata dal Parlamento Ue alla Commissione è un atto d’accusa in piena regola nei confronti degli usa, che secondo il Parlamento Europeo sta facendo poco (per non dire nulla) per garantire gli impegni sottoscritti con il Privacy Shield, l’accordo in vigore dal 2016 che all’epoca sostituì il Safe Harbor alla luce dello scandalo Snowden, che scoperchiò il vaso di Pandora della pesca a strascico dei dati di leader politici e cittadini di tutto il mondo da parte della NSA (National Security Agency).
La risoluzione del Parlamento Ue arriva in vista della seconda revisione annuale del Privacy Shield da parte della Commissione Ue, in agenda a ottobre. C’è da dire che sul Privacy Shield ci sono diversi casi pendenti alla Corte di Giustizia europea, visto che la materia è molto controversa.
A peggiorare il clima e a sollevare ulteriori preoccupazioni da parte delle autorità europee i tanti scandali che nei mesi scorsi hanno investito Facebook, a partire dal caso Cambridge Analytica.
Il Privacy Act viene utilizzato oggi come oggi da più di 3.300 organizzazioni per autorizzare il trasferimento di dati personali dalla Ue agli Usa, compresi i grandi player della rete come Facebook, Google, Microsoft, Amazon e Twitter, per citare i più noti.
In concreto, la risoluzione del Parlamento Europeo lamenta una serie di inadempienze da parte dell’amministrazione americana nella mancata implementazione del Privacy Shield. La richiesta perentoria è che le tante mancanze vengano in qualche modo risolte entro il primo settembre, data ultima prima del confronto che non si preannuncia morbido fra le parti (Ue e Usa).
In primo luogo, l’Unione Europea si lamenta del fatto che negli Usa non c’è una sede dedicata dall’amministrazione americana per chiedere risarcimenti legali né per discutere i casi di violazione dei dati dei cittadini europei. L’amministrazione Trump deve ancora nominare (a due anni dall’entrata in vigore del Privacy Shield) l’ombudsman permanente, responsabile di gestire le denunce di abusi della privacy e il Comitato di tutela dei diritti alla Privacy e alle Libertà Civili.
L’European Data Protection Board (Comitato europeo per la Data protection) ha inoltre chiesto alle autorità americane di occuparsi al più presto di questi temi, dopo il recente incontro avuto con l’ombudsman ad interim che fa le veci di una figura finalmente definitiva che si occupi di questi aspetti sempre più cruciali nei rapporti fra Stati Uniti ed Unione Europea.
Fra le maggiori preoccupazioni della Ue in materia di Privacy Shield, il rischio di un’interpretazione troppo ampia di “sicurezza nazionale” prevista dagli Usa e la persistente mancanza di chiarezza e trasparenza sulle modalità di raccolta massiva di dati in rete per no meglio precisati motivi di sicurezza da parte della National Security Agency (NSA). Inoltre, a peggiorare il quadro, alcuni provvedimenti di recente emanazione negli Stati Uniti che limitano il diritto alla privacy dei cittadini non statunitensi e il cosiddetto Cloud Act, che di fatto potrebbe essere in violazione del Privacy Shield.
Per quanto riguarda Facebook e lo scandalo Cambridge Analyticia, la risoluzione del Parlamento Europeo parla chiaro: ”…alla luce delle recenti rivelazioni di uso improprio dei dati personali da parte di società certificate nell’ambito dello scudo per la privacy, quali Facebook e Cambridge Analytica, invita le autorità statunitensi responsabili dell’applicazione dello scudo per la privacy a dar seguito senza indugio a tali rivelazioni nel pieno rispetto delle garanzie e degli impegni assunti per mantenere l’attuale accordo sullo scudo per la privacy e, se necessario, a rimuovere tali società dall’elenco dello scudo per la privacy; invita inoltre le autorità competenti dell’UE in materia di protezione dei dati a indagare su tali rivelazioni e, se del caso, a sospendere o proibire i trasferimenti di dati nell’ambito dello scudo per la vita privata; ritiene che le rivelazioni dimostrino chiaramente che il meccanismo dello scudo non fornisce un’adeguata protezione del diritto alla protezione dei dati”.
E ancora, il Parlamento Ue “è seriamente preoccupato per la modifica delle condizioni di servizio di Facebook per gli utenti non UE al di fuori degli Stati Uniti e del Canada, che finora hanno goduto di diritti ai sensi della legislazione UE sulla protezione dei dati e che ora devono accettare Facebook US invece di Facebook Ireland come responsabile del trattamento dei dati; reputa che ciò costituisca un trasferimento di dati personali di circa 1,5 miliardi di utenti verso un paese terzo; dubita seriamente che una simile limitazione senza precedenti su vasta scala dei diritti fondamentali degli utenti di una piattaforma, che di fatto è un monopolio, sia ciò che si prefiggeva lo scudo per la privacy; invita le autorità di protezione dei dati dell’UE a indagare su tale questione”.
Perentorie le conclusioni della risoluzione, in cui il Parlamento Ue “invita la Commissione ad adottare tutte le misure necessarie a garantire che lo scudo per la privacy rispetti pienamente il regolamento (UE) 2016/679, che sarà applicato a partire dal venerdì 25 maggio 2018, e la Carta UE, in modo che tale adeguatezza non porti a scappatoie o a vantaggi concorrenziali per le imprese statunitensi; deplora che la Commissione e le competenti autorità statunitensi non abbiano ripreso le discussioni sull’accordo relativo allo scudo per la privacy, né abbiano elaborato alcun piano d’azione volto ad affrontare quanto prima le carenze individuate, come richiesto dal WP29 nella sua relazione di dicembre sulla revisione congiunta; invita la Commissione e le autorità competenti statunitensi a procedere in tal senso senza ulteriori indugi; ricorda che la tutela della vita privata e la protezione dei dati sono diritti fondamentali giuridicamente applicabili e sanciti dai trattati, dalla Carta dei diritti fondamentali e dalla Convenzione europea dei diritti dell’uomo, nonché dalle leggi e la giurisprudenza; sottolinea che essi devono essere applicati in modo da non ostacolare inutilmente il commercio o le relazioni internazionali, ma non possono essere “compensati” da interessi commerciali o politici; ritiene che l’attuale accordo sullo scudo per la privacy non preveda il livello adeguato di tutela richiesto dal diritto dell’Unione in materia di protezione dei dati e dalla Carta dell’Unione europea secondo l’interpretazione della Corte di giustizia dell’Unione europea; ritiene che, se gli Stati Uniti non si conformeranno pienamente entro il 1° settembre 2018, la Commissione non abbia agito in conformità dell’articolo 45, paragrafo 5, dell’RGPD; invita pertanto la Commissione a sospendere lo scudo per la privacy fino a quando le autorità statunitensi non ne rispetteranno le sue condizioni; incarica la commissione per le libertà civili, la giustizia e gli affari interni di continuare a monitorare gli sviluppi in questo settore, comprese le cause dinanzi alla Corte di giustizia, e il seguito dato alle raccomandazioni contenute nella risoluzione; incarica il suo Presidente di trasmettere la presente risoluzione al Consiglio, alla Commissione nonché ai governi e ai parlamenti degli Stati membri e al Consiglio d’Europa”.