Vai al contenuto

Scudo UE-USA per la privacy

Da Wikipedia, l'enciclopedia libera.

Lo scudo UE-USA per la privacy[1] (in inglese EU-US Privacy Shield) era un accordo, dichiarato non valido dalla Corte di giustizia dell'UE il 16 luglio 2020[2], per gli scambi transatlantici di dati personali a scopo commerciale tra Unione europea e Stati Uniti d'America.[3] La "decisione di adeguatezza" da parte della commissione UE, se applicata, faciliterebbe alle aziende USA il trattamento dati personali di cittadini dell'Unione europea, in deroga alle leggi sulla privacy.[4] La proposta è stata presentata dopo che gli International Safe Harbor Privacy Principles sono stati dichiarati non validi dalla Corte di giustizia dell'Unione europea nell'ottobre 2015[5] ed è sotto esame dalla medesima corte (caso T-670/16):[6]

Nell'ottobre 2015 la Corte di giustizia dell'Unione europea dichiarò non valida la prima struttura chiamata International Safe Harbor Privacy Principles.[5] Poco dopo questa decisione, la Commissione europea e il governo USA iniziarono a parlare di una nuova struttura, e nel 2 febbraio 2016 hanno raggiunto un accordo politico.[3] La Commissione europea pubblicò una bozza "decisioni sull'adeguatezza", dichiarando principi di protezione equivalenti a quelli offerti dalla legge Europea.[7]

L'articolo 29 Data Protection Working Party pubblicò un'opinione il giorno 13 aprile 2016, affermando che Privacy Shield offrirebbe considerevoli miglioramenti rispetto alle decisioni di Safe Harbour, ma non risolverebbe tre problemi: la cancellazione di dati, la quantità significativa di dati raccolti, l'assenza di garanti.[8] Il Garante europeo della protezione dei dati emanò il 30 maggio 2016 una considerazione, nella quale affermò che "Privacy Shield, come proposto, non è abbastanza robusto da resistere a un futuro esame minuzioso della Corte [UE]".[9]

L'8 luglio 2016 i rappresentanti degli Stati membri dell'Unione Europea (comitato dell'articolo 31) hanno approvato la versione finale dello Scudo UE-USA per la Privacy, aprendo la strada all'adozione della decisione da parte della Commissione[10]. La Commissione Europea ha adottato il modello il 12 luglio 2016 ed è entrato in vigore lo stesso giorno.[11][12]

L'allora presidente degli Stati Uniti Donald Trump ha firmato un ordine esecutivo intitolato "Executive Order 13768", in cui si afferma che le protezioni sulla privacy degli Stati Uniti non saranno estese oltre cittadini o residenti statunitensi:

Le agenzie, nella misura in cui siano coerenti con la legge applicabile, garantiscono che le loro politiche sulla privacy escludano le persone che non sono cittadini degli Stati Uniti o residenti permanenti legittimi dalle protezioni della legge sulla privacy in merito a informazioni di identificazione personale.[13]

La Commissione Europea ha dichiarato che:

La legge sulla privacy degli Stati Uniti non ha mai offerto ai cittadini europei diritti di protezione dei dati. La Commissione ha negoziato due strumenti aggiuntivi per garantire che i dati dei cittadini dell'Unione Europea siano debitamente tutelati quando trasferiti negli Stati Uniti:

  • Lo Scudo UE-USA per la Privacy, che non si basa sulle protezioni previste dalla legge sulla privacy degli Stati Uniti.
  • L'UE-USA Umbrella Agreement, che entrerà in vigore il 1 ° febbraio 2017. Per finalizzare questo accordo, il Congresso degli Stati Uniti ha adottato una nuova legge nel 2017, la Legge sul Reddito Giudiziario degli Stati Uniti[14], che estende i benefici della Legge sulla privacy degli Stati Uniti ai cittadini europei e dà loro accesso ai tribunali statunitensi".[15]

La Commissione ha affermato che "continuerà a monitorare l'attuazione di entrambi gli strumenti".[15]

Con la sentenza nel caso C-311/18[16] (Schrems II), la Corte di giustizia dell'Unione europea ha dichiarato non valida la decisione di esecuzione (UE) 2016/1250 della Commissione sull'adeguatezza della protezione offerta dal regime dello scudo UE - USA per la privacy, ponendo termine alla possibilità di trasferimenti di dati basati su tale accordo. La medesima sentenza ha riconosciuto invece la legalità delle ‘clausole contrattuali tipo’ (Standard Contractual Clauses, cd. SCC), che quindi continuano a mantenere validità per i trasferimenti di dati basati su di esse.

In seguito, il 10 Luglio 2023 con decisione di adeguatezza della Commissione Europea[17] è entrato in vigore il nuovo Data Privacy Framework (DPF)[18], l'accordo che di fatto sostituisce il precedente Scudo EU-USA per la privacy non più valido, che regola i trasferimenti di dati tra UE ed USA per quanto riguarda le società statunitensi che aderiscono a tale accordo (l'elenco è consultabile nel sito web ufficiale[19]).

Società coinvolte

[modifica | modifica wikitesto]

Avevano il diritto di aderire allo Scudo UE-USA per la privacy (Privacy Shield) le società stabilite negli Stati Uniti soggette ai poteri di controllo e accertamento della Federal Trade Commission (FTC, Commissione federale per il commercio) o del Department of Transportation (DoT, Ministero dei trasporti). Non era escluso che in futuro questa possibilità fosse estesa a imprese soggette al controllo di altri organismi federali. Per esempio lo Stato, organismi no-profit, banche, assicurazioni, fornitori di servizi di telecomunicazione non rientrano attualmente in questa selezione.[20][21]

Lo Scudo UE-USA per la privacy (Privacy Shield) era applicabile a tutte le categorie di dati personali trasferiti dall’Unione Europea agli Stati Uniti (anche informazioni commerciali e dati sanitari), purché la società statunitense destinataria di tali dati avesse autocertificato la propria adesione al Privacy Shield.[22][23]

L'europarlamentare tedesco Jan Philipp Albrecht e l'attivista Max Schrems hanno criticato la nuova sentenza. Molti europei hanno chiesto un meccanismo per i singoli cittadini europei per presentare denunce sull'uso dei loro dati, nonché un sistema di trasparenza per assicurare che i dati dei cittadini europei non cadano nelle mani delle agenzie di intelligence degli Stati Uniti.[24]

A partire da febbraio 2017 è stato contestato il futuro dello Scudo UE-USA per la Privacy. Un consulente, Matt Allison, prevedeva che "il modello regolamentato e guidato dai cittadini dell'Unione Europea entrerà rapidamente in conflitto con le forze di mercato degli Stati Uniti e del Regno Unito."[25]

Lo Scudo UE-USA per la Privacy è stato contestato legalmente dai gruppi sulla privacy.[26][27] A partire da novembre 2016, non era chiaro se i casi sarebbero stati considerati ammissibili.[28][29] Il 16 Luglio 2020 la Sentenza Schrems II della Corte di Giustizia dell'Unione Europea ha invalidato lo Scudo UE-USA per la Privacy.

  1. ^ (EN) Press corner, su European Commission - European Commission. URL consultato il 23 settembre 2023.
  2. ^ The Court of Justice invalidates Decision 2016/1250 on the adequacy of the protection provided by the EU-US Data Protection Shield (PDF), su curia.europa.eu.
  3. ^ a b (EN) Press corner, su European Commission - European Commission. URL consultato il 23 settembre 2023.
  4. ^ The new transatlantic data “Privacy Shield”, in The Economist. URL consultato il 23 settembre 2023.
  5. ^ a b Vera Jourova, "Commissioner Jourová's remarks on Safe Harbour EU Court of Justice judgement before the Committee on Civil Liberties, Justice and Home Affairs (LIBE)", 26 October 2015
  6. ^ Privacy group launches legal challenge against EU-U.S. data pact, su uk.reuters.com, 27 ottobre 2016.
  7. ^ (EN) 5 things you need to know about the EU-US Privacy Shield agreement, su PCWorld. URL consultato il 23 settembre 2023.
  8. ^ JUSTICE AND CONSUMERS ARTICLE 29 - Item Overview, su ec.europa.eu. URL consultato il 23 settembre 2023.
  9. ^ European Data Protection Supervisor, Privacy Shield: more robust and sustainable solution needed Archiviato il 25 giugno 2016 in Internet Archive., 30 May 2016
  10. ^ European Commission - PRESS RELEASES - Press release - Statement by Vice-President Ansip and Commissioner Jourová on the occasion of the adoption by Member States of the EU-U.S. Privacy Shield, su europa.eu. URL consultato il 19 giugno 2019.
  11. ^ European Commission - PRESS RELEASES - Press release - European Commission launches EU-U.S. Privacy Shield: stronger protection for transatlantic data flows, su europa.eu. URL consultato il 19 giugno 2019.
  12. ^ (EN) Data protection, su European Commission - European Commission. URL consultato il 19 giugno 2019.
  13. ^ (EN) Executive Order: Enhancing Public Safety in the Interior of the United States, su The White House. URL consultato il 19 giugno 2019 (archiviato dall'url originale il 13 dicembre 2017).
  14. ^ Public Law 114-126, 24 February 2016 (PDF), su congress.gov.
  15. ^ a b Phil Muncaster, Trump Order Sparks Privacy Shield Fears, su Infosecurity Magazine, 27 gennaio 2017. URL consultato il 19 giugno 2019.
  16. ^ CURIA - Documenti, su curia.europa.eu. URL consultato il 21 luglio 2020.
  17. ^ (EN) Adequacy decision for the EU-US Data Privacy Framework | European Commission, su commission.europa.eu. URL consultato l'8 marzo 2024.
  18. ^ Data Privacy Framework, su www.dataprivacyframework.gov. URL consultato l'8 marzo 2024.
  19. ^ Data Privacy Framework, su www.dataprivacyframework.gov. URL consultato l'8 marzo 2024.
  20. ^ Privacy Shield, su privacyshield.gov. URL consultato l'11 luglio 2020.
  21. ^ Garante per la protezione dei dati personali, su garanteprivacy.it. URL consultato l'11 luglio 2020.
  22. ^ Privacy Shield: cos'è? | Unolegal, su unolegal.it, 23 gennaio 2018. URL consultato il 21 luglio 2022.
  23. ^ Privacy Shield: l’accordo controverso sul trasferimento dei dati tra l’UE e gli USA, su IONOS Digitalguide. URL consultato il 21 luglio 2022.
  24. ^ (EN) EU-US Data Transfers Won’t Be Blocked While Privacy Shield Details Are Hammered Out, Says WP29 [collegamento interrotto], su TechCrunch. URL consultato il 19 giugno 2019.
  25. ^ (EN) A Template for Adequacy: EU Pitches for Data Protection Gold Standard, su circleid.com. URL consultato il 19 giugno 2019.
  26. ^ EUR-Lex - 62016TN0670 - EN - EUR-Lex, su eur-lex.europa.eu. URL consultato il 19 giugno 2019.
  27. ^ EUR-Lex - 62016TN0738 - EN - EUR-Lex, su eur-lex.europa.eu. URL consultato il 19 giugno 2019.
  28. ^ (EN) EU-U.S. personal data pact faces second legal challenge from..., in Reuters, 2 novembre 2016. URL consultato il 19 giugno 2019.
  29. ^ CURIA - Scheda dettagliata, su curia.europa.eu. URL consultato il 19 giugno 2019.

Voci correlate

[modifica | modifica wikitesto]

Collegamenti esterni

[modifica | modifica wikitesto]