Privacy shield Svizzera-USA: il livello di protezione non è adeguato

Articolo header

Alla luce della recente giurisprudenza della Corte di giustizia dell’Unione europea (CGUE) in materia di protezione dei dati, l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha rivalutato la conformità del privacy shield con la legislazione sulla protezione dei dati (LPD).

L’obiettivo è quello di designare un gruppo di nazioni che presuppongono reciprocamente l’esistenza di un livello di protezione dei dati equivalente e adeguato, facendo sì che il trasferimento di dati personali tra la Svizzera e questi Paesi possa avvenire senza particolari misure di protezione secondo l’articolo 6 capoverso 2 della legge federale sulla protezione dei dati, come avviene all’interno della stessa.

Si è giunti alla conclusione che il regime dello scudo per la privacy non prevede un adeguato livello di protezione per la comunicazione di dati dalla Svizzera agli Stati Uniti conformemente alla LPD.

Privacy shield: come funziona

È importante sottolineare che da quando esiste l’elenco di paesi che prevedono un adeguato livello di protezione, gli Stati Uniti non hanno mai fatto parte di questo gruppo.

In seguito ad una semplificazione del trasferimento di dati, dall’11 gennaio 2017 l’IFPDT ha inserito gli Stati Uniti nella seconda colonna dell’elenco degli Stati dal titolo «Protezione adeguata a determinate condizioni».

Questo presupposto è parziale perché si limita allo scambio di dati con aziende statunitensi che si sono sottoposte a una speciale procedura di certificazione (chiamata privacy shield), assicurata in via separata dagli USA alla Svizzera e all’UE nel quadro del regime dello scudo per la privacy sulla base di disciplinamenti praticamente identici.

L’IFPDT ha constatato che anche le persone interessate in Svizzera non hanno la possibilità di far valere le loro pretese giuridiche negli Stati Uniti per mancanza di trasparenza, mettendo pure in discussione la validità delle Standard Contractual Clauses (SCC) utilizzate finora quali garanzie contrattuali, così come già accade nell’UE.

Inoltre, l’IFPDT ha biasimato il fatto che non si dispone di sufficienti informazioni concrete e affidabili riguardo alle competenze decisionali dell’OM nei confronti dei servizi segreti statunitensi e alla sua effettiva indipendenza e che la mancanza di garanzie che ne consegue rende assai problematico stabilire se le persone interessate in Svizzera hanno effettivamente la possibilità di fare valere i propri diritti conformemente all’art. 13 capoverso 2 Cost. e all’art. 8 CEDU (Convenzione Europea per la salvaguardia dei Diritti dell’Uomo e delle libertà fondamentali).

Nonostante le critiche espresse dall’UE e dalla Svizzera nell’ambito dei riesami del privacy shield e delle discussioni condotte a tale proposito al Congresso americano, gli Stati Uniti non hanno ancora apportato alcuna modifica a questo proposito.

Trasferimento dati USA: il parere dell’esperto

Abbiamo chiesto un parere all’avv. Gianni Cattaneo, esperto del diritto svizzero della sicurezza dei dati e membro del Comitato Scientifico di ASSO DPO:

“Una delle soluzioni menzionate nel rapporto, che personalmente predico da tempo, è il Bring Your Own Key (BYOK) / BYOE (Bring Your Own Encryption).

Forse (finalmente) si farà un passo avanti in questo ambito? Aggiungo che ove non sia possibile adottare misure di questo tipo, l’IFPDT raccomanda di rinunciare alla trasmissione di dati personali basata su garanzie contrattuali verso gli Stati che non figurano nell’elenco”.

L’IFPDT si adopera per fornire a tempo debito alle imprese svizzere ulteriori indicazioni in merito all’esportazione di dati personali basata su disposizioni contrattuali verso gli Stati Uniti e altri Stati terzi che non figurano nell’elenco. Provvederà in tal senso non appena disporrà di ulteriori elementi, quali decisioni pertinenti di tribunali svizzeri o pareri annunciati del Comitato europeo per la protezione dei dati (CEPD).

Altre news