LO SCUDO UE – USA PER LA PRIVACY (“PRIVACY SHIELD”)

Privacy e gestione dei dati, record di sanzioni per le aziende italiane: siamo troppo indietro
30 Settembre 2020
COVID 19: FAQ E RISPOSTE
16 Ottobre 2020

LO SCUDO UE – USA PER LA PRIVACY (“PRIVACY SHIELD”)

Il Privacy Shield, 2 ovvero lo “scudo per la privacy” fra UE e USA, è un meccanismo di autocertificazione per le società stabilite negli USA che intendano ricevere dati personali dall’Unione europea. In particolare, le società si impegnano a rispettare i principi in esso contenuti e a fornire agli interessati (i.e. ovvero tutti i soggetti i cui dati personali siano stati trasferiti dall’Unione europea) adeguati strumenti di tutela, pena l’eliminazione dalla lista delle società certificate (“Privacy Shield List”) da parte del Dipartimento del Commercio statunitense e possibili sanzioni da parte della Federal Trade Commission (Commissione federale per il commercio).

La Commissione europea ha ritenuto che il sistema offra un livello adeguato di protezione per i dati personali trasferiti da un soggetto nell’UE a una società stabilita negli Stati Uniti e che, pertanto, lo Shield costituisca una fonte di garanzie giuridiche con riguardo ai trasferimenti di dati in questione. Lo Scudo UE-USA per la privacy è in vigore dal 1 agosto del 2016.
Lo Scudo è applicabile a tutte le categorie di dati personali trasferiti dall’UE agli USA, compresi informazioni commerciali, dati sanitari o relativi alle risorse umane, purché la società USA destinataria di tali dati abbia autocertificato la propria adesione allo schema.

In che modo posso beneficiare dello “Scudo UE-USA per la privacy”?
Il Privacy Shield si fonda su una serie di impegni assunti dalle società USA quanto al rispetto dei principi, delle norme e degli obblighi fissati nello schema denominato, appunto, “scudo per la privacy”. Lo “scudo” Le riconosce una serie di diritti se i Suoi dati personali sono stati trasferiti dall’UE al territorio degli USA. In particolare, Lei ha il diritto di essere informato del trasferimento e di esercitare i diritti di accesso – per esempio, chiedendo la correzione o la cancellazione dei dati personali trasferiti.3 Inoltre, Lei può verificare se una società stabilita negli USA sia certificata consultando l’elenco disponibile online (denominato Privacy Shield List) all’indirizzo www.privacyshield.gov.

In caso di problematiche legate al trattamento dei Suoi dati personali, La invitiamo a rivolgersi in primo luogo alla società USA in modo che la stessa possa essere messa in condizione di aderire alle Sue richieste o di fornire le informazioni necessarie al caso di specie. Se la società USA aderente al Privacy Shield non è stata in grado di risolvere il problema, o se Lei preferisce, per specifici motivi, non rivolgersi direttamente alla società, il Garante è pronto a fornirLe l’assistenza necessaria.

Cosa devo fare per presentare un reclamo?
Se ritiene che la società aderente al Privacy Shield abbia violato gli obblighi fissati nello “scudo” o non abbia rispettato i diritti che Le sono riconosciuti in base ai principi in esso stabiliti, allora Lei può presentare un reclamo.
Per presentare un reclamo nei confronti di una società certificata (o che afferma di esserlo), La preghiamo di utilizzare il modello scaricabile dal sito internet oppure di contattare il Garante.

Le consigliamo di fornire al Garante quante più informazioni possibile sullo specifico reclamo in modo da consentirne la migliore trattazione. Tenuto conto che le società che trattano dati relativi alle risorse umane nel contesto di un rapporto di lavoro sono tenute a conformarsi ai pareri adottati dalle competenti autorità di protezione dei dati in UE e a collaborare con tali autorità (cfr. allegato II, punto II.6.c e III.9), è stato costituito un collegio informale, composto da rappresentanti di Autorità per la protezione dei dati nell’UE, al fine di gestire i reclami concernenti dati personali di dipendenti che siano trasferiti dall’UE a una società aderente al Privacy Shield nel contesto del rapporto di lavoro; questo collegio si occuperà anche dei reclami riguardanti le società USA importatrici dei dati che abbiano accettato, su base volontaria, di collaborare con le Autorità UE nella trattazione di eventuali reclami (cfr. allegato II, punto II.6.c). Il collegio informale delle Autorità UE darà inizio a un accertamento durante il quale le parti avranno la possibilità di presentare le rispettive posizioni. Il collegio informale, se necessario al fine di risolvere la controversia, potrà emanare un “parere” con valore
vincolante per la società USA aderente al Privacy Shield, la quale sarà pertanto tenuta a ottemperarvi. Se il collegio informale delle Autorità UE non fosse competente, ogni Autorità nazionale ha la possibilità di sottoporre il reclamo alle Autorità USA; ricordiamo, a tale proposito, che la Federal Trade Commission (Commissione federale per il commercio) si è impegnata a dare priorità a questi casi, e che il Ministero del
commercio USA segue una precisa tempistica per la trattazione dei reclami. Inoltre, a seconda delle specifiche circostanze, il Garante può esercitare i poteri di cui dispone (vietando o sospendendo il trasferimento) nei confronti dell’esportatore stabilito in Italia.
Per maggiori informazioni sulle modalità di presentazione dei reclami, La invitiamo a contattare il Garante (urp@garanteprivacy.it).
Segnaliamo che il modello comune per i reclami (il cui impiego è facoltativo) è stato messo a punto dalle Autorità UE ed è utilizzabile in tutta l’Unione. Vi ricordiamo che le richieste concernenti l’eventuale accesso ai dati da parte di autorità pubbliche degli
USA in rapporto alle attività di intelligence (sicurezza nazionale) sono soggette a una diversa procedura. Vi preghiamo di contattare il Garante per maggiori informazioni in merito.