Il rapporto fra privacy e trattamento dei dati personali è sempre stato uno fra i temi più complessi nell'ambito del cloud computing. L'evoluzione della materia e le relative problematiche attinenti allo scambio di dati tra Europa e Stati Uniti ha riguardato un periodo storico di quasi quarant'anni, a partire dalle cosiddette Guidelines OCSE del 1980, fino ad arrivare al recentissimo Privacy Shield del 2016, tutt'ora oggetto di studio ed analisi da parte delle autorità europee e nazionali.
Il Privacy Shield
Introdotto lo scorso anno a seguito di serrate trattative tra Stati Uniti e Commissione europea, il Privacy Shield ha sostituito il Safe Harbor Agreement, dichiarato illegittimo dalla Corte di Giustizia Europea nel 2015. Si tratta di un meccanismo che consente la migrazione dei dati personali da un continente all'altro in modo notevolmente più sicuro rispetto al precedente e che contiene, e questa è una delle novità più peculiari, le prime assunzioni di impegno da parte dell'Amministrazione statunitense circa il loro accesso ai dati.
Diversi sono gli elementi posti alla base dello "scudo privacy". In primis, sono stati introdotti ulteriori controlli, effettuati dal Dipartimento del Commercio degli Stati Uniti (il DoC) di concerto con esperti dei servizi di sicurezza americani e delle Autorità europee per la protezione dei dati, che possono comportare, nel peggiore dei casi, il depennamento dall'elenco delle compagnie aderenti.
È stata introdotta una fase di monitoraggio con la Commissione europea, che discuterà, dinanzi al Parlamento ed al Consiglio, una relazione pubblica attinente ai risultati conseguiti. Sono state regolate per la prima volta, come si diceva, stringenti limitazioni nell'accesso ai dati personali da parte di autorità pubbliche statunitensi. Queste ultime hanno infatti assicurato che gli accessi saranno sottoposti a meccanismi di controllo, con appositi limiti e garanzie e che la raccolta di dati in blocco sarà prevista soltanto in casi particolari. Non saranno quindi più ammessi accessi indiscriminati e massivi, come poteva, invece, verificarsi in precedenza.
Gli strumenti di tutela giuridica
Decisamente importanti sono, poi, gli strumenti introdotti a tutela del soggetto che ritenga leso il proprio diritto individuale. I cittadini possono ora rivolgersi direttamente all'impresa, che dovrà rispondere ai reclami entro quarantacinque giorni.
Si può, inoltre, adire un organo alternativo di composizione delle controversie (ADR), attivando una procedura completamente gratuita, oppure rivolgersi all'Autorità di protezione dati che esaminerà il reclamo insieme al Department of Commerce e alla Federal Trade Commission degli USA.
Ad ogni modo, rimane sempre in essere la possibilità di ricorrere alle singole Autorità nazionali di protezione dei dati. Qualora poi neanche l'intervento della Commissione federale del Commercio riuscisse ad essere risolutivo, ci si potrà rivolgere al Privacy Shield Panel, per una procedura di arbitrato, o, in casi più particolari, attivare una procedura di mediazione. Viene introdotta, infine, la figura dell'Ombudsperson (una sorta di difensore civico), soggetto autonomo che ha il compito di ricevere e valutare eventuali esposti presentati dai diretti interessati.
La prima relazione annuale: il Privacy Shield fra ottimismo ed aspettative
La prima revisione del Privacy Shield, avvenuta nella metà di ottobre, è stata un successo ben al di là delle aspettative. Il lavoro di controllo si è concentrato essenzialmente sulla verifica dei meccanismi e delle procedure introdotte con lo scudo.
Soddisfazione fra gli addetti ai lavori è stata espressa, poi, con riferimento alla gestione dei procedimenti di registrazione da parte delle imprese, con oltre 2.400 compagnie registrate. Oltre a ciò, però, il meeting di revisione è servito alla Commissione per elencare alcune criticità dell'attuale sistema nell'ottica di ottenere miglioramenti nei prossimi dodici mesi.
Ecco, sommariamente, alcune delle criticità emerse. In primo luogo, le imprese non possono fare riferimento ad una loro presunta certificazione ai sensi del Privacy Shield, prima che la stessa sia stata effettivamente concessa dal Dipartimento del Commercio degli Stati Uniti.
In secondo luogo, il DoC dovrebbe effettuare costanti controlli nei confronti di quelle imprese che dichiarino falsamente di avere la certificazione in parola o, più semplicemente, abbiano iniziato la procedura ma non l'abbiano volontariamente portata a termine.
Il Dipartimento dovrebbe, quindi, continuamente monitorare la conformità delle organizzazioni statunitensi con i principi del Privacy Shield e nominare un obundsperson permanente (mentre ad oggi è soltanto temporaneo). Infine, la Commissione ha auspicato la realizzazione di un rapporto più stringente fra le autorità americane e la Commissione stessa, al fine di monitorare gli sviluppi del funzionamento del Privacy Shield.