CioData storageProgetti

Come funziona il Privacy Shield: la UE dà i dettagli

Giornalista e collaboratore di TechWeekEurope, si occupa professionalmente di IT e nuove tecnologie da oltre vent'anni e ha collaborato con le principali testate italiane di settore

Follow on: Linkedin

Pubblicata la versione quasi definitiva del Privacy Shield, che spiega i principi a cui devono aderire le aziende USA nel gestire i dati dei cittadini UE

La Commissione Europea ha formalizzato una bozza quasi definitiva dell’EU-US Privacy Shield, la nuova piattaforma che dovrà regolare gli scambi di dati personali con gli Stati Uniti. La definizione di un nuovo accordo si è resa necessaria quando lo scorso ottobre la Corte di Giustizia Europea ha giudicato non più valido il vecchio Safe Harbour nell’ambito del quale per anni le aziende USA hanno potuto gestire i dati dei loro clienti europei.

Come hanno sottolineato più volte gli esponenti UE, il nuovo accordo si differenzia da quello precedente per i maggiori obblighi che impone alle aziende USA quando gestiscono dati di cittadini UE e per il maggior controllo che le autorità statunitensi dovranno esercitare perché gli obblighi del Privacy Shield siano rispettati. L’accordo riguarda il trasferimento dei dati personali dei cittadini dei 28 Paesi UE e anche di Islanda, Liechtenstein e Norvegia.

Per quanto riguarda in particolare la gestione dei dati da parte delle aziende USA (il Privacy Shield copre anche la eventuale consultazione di questi dati da parte di enti del Governo USA, ma è un caso più estremo) all’atto pratico queste dovranno auto-certificare di rispettare alcuni requisiti indicati dal Privacy Shield. La certificazione va ripetuta ogni anno e il Department of Commerce americano manterrà una lista pubblica delle aziende che hanno aderito all’accordo, eliminando di volta in volta le aziende che non rinnovino la loro certificazione.

jourova privacy shield
Vera Jourova, il Commissario europeo che ha portato avanti i lavori per la definizione del Privact Shield

I requisiti che un’azienda USA deve rispettare per aderire al Privacy Shield sono stati formalizzati sotto forma di “principi di privacy” e sono essenzialmente linee guida di comportamento, non definizioni tecniche che rischierebbero di perdere validità con l’evolvere del mercato dei servizi collegati in qualche modo alla gestione di dati personali.

In estrema sintesi, secondo il Notice Principle le aziende sono obbligate a descrivere in sufficiente dettaglio i punti chiave del trattamento dei dati che richiedono, a pubblicare le loro policy in merito e anche i link a informazioni di supporto come la lista di aziende mantenuta dal Department of Commerce e il testo del Privacy Shield stesso. Per il Choice Principle deve essere presente una opzione per rifiutare (opt-out) il trasferimento dei dati a terze parti o l’uso dei dati per scopi diversi da quello principale per cui vengono comunicati. In caso di dati sensibili serve uno specifico consenso affermativo (opt-in).

DataPrivacyIl Security Principle impone che i dati siano gestiti prendendo misure di sicurezza “ragionevoli e appropriate”, anche quando alcune operazioni sono svolte da terze parti, mentre per il Data Integrity and Purpose Limitation Principle i dati raccolti devono essere solo quelli rilevanti per il servizio per i quali si richiedono e non devono essere gestiti in maniera incompatibile con esso.

L’Access Principle impone che sia possibile per chiunque richiedere a un’azienda se essa stia gestendo propri dati personali (e quali) e l’azienda ha, tranne casi particolari, l’obbligo di rispondere in tempi ragionevoli. L’Accountability for Onward Transfer Principle regola il trasferimento di dati a terzi e soprattutto indica che l’azienda che ha raccolto per prima i dati è responsabile anche delle violazioni alla compliance generate appunto dai terzi, a meno che non possa dimostrare il contrario. Infine, il Recourse, Enforcement and Liability Principle indica che l’auto-certificazione nell’ambito del Privacy Shield è vincolante al rispetto delle sue norme e che le aziende devono organizzare i meccanismi necessari a garantire e verificare la loro compliance.