La presa di posizione è ufficiale. John Frank, vice presidente per gli EU Government Affairs di Microsoft, responsabile dunque delle relazioni con l’Unione Europea, lo ha scritto in un post sul blog ufficiale di Microsoft: la società è favorevole all’approvazione del Privacy Shield tra l’Europa e gli Stati Uniti, vale a dire le misure di salvaguardia della privacy dei cittadini europeo, quando i loro dati personali vengono gestiti e processati negli Stati Uniti.
Anche se il Privacy Shield, presentato lo scorso 29 febbraio, non è ancora stato finalizzato, John Frank non si limita a sottolineare la posizione di Microsoft, favorevole alla sua approvazione, ma ne elenca i motivi.
Sottolinea in primo luogo come Microsoft riconosca la privacy come diritto umano fondamentale e in un momento in cui le attività delle imprese e le comunicazioni si basano sulla trasmissione di dati personali al di là dei confini nazionali “nessuno dovrebbe rinunciare ai propri diritti solo perché i suoi dati sono conservati elettronicamente o perché il suo fornitore tecnologico li trasferisce in un altro Paese”.
Il Privacy Shield rappresenta un framework efficace e dovrebbe essere approvato, nella consapevolezza che la materia è talmente complessa e in continua evoluzione che anche lo Scudo richiederà ulteriori aggiornamenti e revisioni.
Risposte entro 45 giorni
Non si tratta semplicemente di un supporto formale: Microsoft si impegna fin d’ora, ad esempio, a rispondere entro 45 giorni alle richieste che le arriveranno in merito alla protezione dei dati personali e garantisce la sua volontà di cooperare con le Autorità per la protezione dei dati europee, attenendosi al loro giudizio per le eventuali dispute che ricadranno negli ambiti dello scudo.
Nel suo post, Frank ricorda come Microsoft si oppose, due anni fa, al Governo Americano che richiedeva accesso ai dati di un utente, custoditi nel suo datacenter irlandese e sottolinea come sempre Microsoft fu il primo fornitore di servizi cloud a implementare tutti i necessari controlli per il trasferimento dei dati al di fuori dell’Unione e fu sempre il primo fornitore a ottenere la certificazione ISO 27018 per la privacy nel cloud.
Cosa prevede il Privacy Shield
Va detto che il documento presentato alla fine di febbraio è oggetto di ulteriori discussioni tra i membri della Commissione, di cui fan parte rappresentanti degli Stati membri e le autorità europee per la protezione dei dati, prima di arrivare agli step successivi per l’approvazione. L’impianto è comunque già ben chiaro.
Il Privacy Shield, che va a sostituire il Safe Harbor scaduto lo scorso mese di ottobre, si articola in quattro punti essenziali che qui in calce riportiamo:
1- Imposizione di obblighi precisi alle società e una robusta applicazione: il nuovo accordo sarà trasparente e comprenderà efficaci meccanismi di vigilanza, fra cui quello di sanzioni o esclusione in caso di inadempienza, al fine di garantire che le società rispettino i loro obblighi. Le nuove regole comprendono anche condizioni più rigorose per i trasferimenti successivi ad altri partner dalle società che partecipano al programma.
2- Garanzie chiare e obblighi di trasparenza applicabili all’accesso da parte del governo degli Stati Uniti: per la prima volta, gli Stati Uniti hanno fornito all’UE una garanzia scritta, da parte dell’Ufficio del Direttore dell’intelligence nazionale, che tutti i diritti di accesso delle autorità pubbliche ai fini della sicurezza nazionale saranno soggetti a precisi limiti, garanzie e meccanismi di controllo, e sarà impedito l’accesso generalizzato ai dati personali. John Kerry, segretario di Stato statunitense, si è impegnato a introdurre una possibilità di ricorso in materia di intelligence nazionale per i cittadini dell’UE tramite un meccanismo basato sulla figura del mediatore all’interno del Dipartimento di Stato, che sarà indipendente dai servizi di sicurezza nazionali. Il Mediatore tratterà i reclami e le richieste di informazioni da parte di singoli cittadini dell’UE e li informerà se le normative in materia sono state rispettate. Tali impegni scritti saranno pubblicati nel U.S. Federal Register.
3 – Protezione effettiva dei diritti dei cittadini dell’UE con diverse possibilità di ricorso: i reclami devono essere risolti dalle imprese entro 45 giorni. Sarà disponibile una soluzione consistente nella composizione extragiudiziale gratuita delle controversie. I cittadini dell’UE si potranno anche rivolgere alle loro autorità nazionali di protezione dei dati, che collaboreranno con la Commissione federale per il commercio per assicurare che i reclami dei cittadini dell’UE vengano esaminati e risolti. Qualora una controversia non sia stata risolta mediante detti mezzi, si potrà far ricorso, in ultima istanza, ad un meccanismo di arbitrato, la cui decisione sarà esecutiva. Inoltre, le imprese possono impegnarsi a rispettare il parere delle autorità di protezione dei dati dell’UE. Tale disposizione è obbligatoria per le imprese che trattano dati relativi alle risorse umane.
4 – Meccanismo annuale di riesame congiunto: Il meccanismo consentirà di monitorare il funzionamento dello scudo per la privacy, compresi gli impegni e le garanzie relative all’accesso ai dati a fini di contrasto della criminalità e finalità di sicurezza nazionale. La Commissione europea e il ministero del Commercio degli Stati Uniti procederanno al riesame, e inviteranno esperti nazionali di intelligence degli Stati Uniti e delle autorità europee di protezione dei dati a parteciparvi. La Commissione farà ricorso a tutte le altre fonti di informazioni disponibili, comprese le relazioni di trasparenza delle imprese in merito al livello delle richieste di accesso delle autorità pubbliche. La Commissione organizzerà inoltre una conferenza annuale sulla privacy con le organizzazioni non governative interessate e i portatori d’interessi pertinenti per discutere i più ampi sviluppi nel settore del diritto alla privacy degli Stati Uniti e del loro impatto sui cittadini dell’Unione. In base al riesame annuale, la Commissione presenterà una relazione al Parlamento europeo e al Consiglio.
