E’ difficile giungere a una conclusione se si deve giudicare una ‘volontà politica’ e non un documento reale. Con questa motivazione, espressa dal Garante privacy francese Isabelle Falque-Pierrotin, il Working Party 29, che riunisce le autorità europee per la privacy, ha chiesto alla Commissione di fornire entro la fine del mese tutta la documentazione relativa al Privacy Shield.
Senza la documentazione, nero su bianco, è difficile valutare la qualità, il contenuto, le conseguenze e la vincolatività giuridica delle disposizioni annunciate ieri e che andranno a sostituire il Safe Harbor, invalidato lo scorso ottobre dalla Corte di Giustizia europea.
Falque-Pierrotin, che è anche presidente del WP29, ha precisato: “ci è stato detto che c’è stato uno scambio di lettere. Un atto unilaterale della Commissione che non sappiamo esattamente cosa andrà a coprire e quanto sarà vincolante”.
E’ peraltro necessario ricevere i documenti per capire se il Privacy Shield “risponda adeguatamente ai dubbi sollevati dalla Corte di giustizia Ue riguardo tutti i trasferimenti internazionali di dati personali”, ha concluso.
Il WP29 terrà quindi una riunione a marzo per valutare il testo e potrebbe giungere a una conclusione sull’accettabilità del Privacy Shield tra la metà e la fine di aprile, ma tutto dipenderà dai tempi della Commissione. I garanti, dal canto loro, ha detto Falque-Pierrotin, hanno assunto una posizione “ragionevole dicendo che stiamo ad aspettare, ma non troppo a lungo”.
Le aziende che nel frattempo stanno usando strumenti alternativi per il trasferimento di dati negli Stati Uniti – quali le clausole contrattuali standard (Standard Contractual Clauses) e le norme vincolanti d’impresa (BCR – Binding Corporate Rules) – possono tirare un sospiro di sollievo perché nonostante i dubbi sulla legittimità sollevati da alcuni Garanti nazionali, che avevano indicato l’intenzione di sospendere i trasferimenti basati su questi meccanismi, il WP29 ha deciso di stabilire una posizione comune e di non intraprendere misure coercitive.
Solo una volta visionati i documenti della Commissione si valuterà se i meccanismi come le Standard Contractual Clauses o le BCR “potranno ancora essere utilizzati quali per i trasferimenti di dati personali a Stati Uniti”. Fino ad allora, sottolineano i Garanti Ue, “è ancora il caso di usarli”.
Quel che è certo è che nella sua valutazione, il WP29 terrà conto di quattro garanzie essenziali che dovranno essere rispettate dal Governo Usa e dai servizi di intelligence:
- Il trattamento dei dati deve essere basato su “regole chiare, precise e accessibili”: chiunque sia ragionevolmente informato dovrebbe essere quindi in grado di prevedere ciò che potrebbe accadere ai suoi dati nel luogo in cui vengono trasferiti;
- Ci dovrebbe essere “necessità e proporzionalità” nell’accesso ai dati di cittadini europei: occorre trovare un equilibrio tra l’obiettivo per il quale i dati sono raccolti e vi si accede (sicurezza generale nazionale) e i diritti della persona;
- Dovrebbe esistere un “meccanismo di controllo indipendente, efficace e imparziale”: può essere un giudice o un altro organo indipendente, ma deve avere comunque sufficiente capacità di effettuare i necessari controlli;
- “Rimedi efficaci” dovrebbero essere disponibili a tutti i cittadini europei: chiunque dovrebbe avere il diritto di difendere i suoi diritti davanti a un organismo indipendente
“Queste quattro garanzie essenziali costituiscono una sorta di standard europeo”, hanno sottolineato i Garanti, aggiungendo che tali tutele devono essere applicate anche per il trasferimento di dati verso altri paesi europei.
