Indice della documentazione

Generale ›

Il Privacy Shield e iubenda – Guida all’integrazione


Scopri di più sul “Privacy Shield”, quali ripercussioni ha per te e come il servizio di iubenda può essere utilizzato per ottenere la certificazione.

Indice dei contenuti

pshield_help

Introduzione al Privacy Shield

Che cosa si intende per “certificazione” al Privacy Shield?

Il Privacy Shield ha istituito un nuovo quadro normativo per il trasferimento di dati personali dall’Europa verso gli Stati Uniti allo scopo di proteggere i dati personali dei cittadini europei a seguito del trasferimento.

Per gli utenti europei
La certificazione al Privacy Shield da parte di una società statunitense che raccoglie dati personali di utenti europei permette alla società in questione di trasferire legittimamente i dati senza la necessità di una previa autorizzazione da parte dell’utente. Pertanto se stai utilizzando prodotti di aziende statunitensi che possono trattare i tuoi dati, assicurati che tali aziende abbiano richiesto e ottenuto la certificazione. → Qui trovi maggiori informazioni

Per le società statunitensi
Per conformarsi al Privacy Shield le società statunitensi devono rispettare diversi requisiti tra cui quello di predisporre una privacy policy che contenga tutti i requisiti di pubblicità richiesti. Abbiamo recentemente parlato dei requisiti principali del Privacy Shield all’interno del nostro blog. Nel frattempo il sito del Privacy Shield gestito dal Dipartimento del commercio statunitense ha pubblicato una vasta documentazione riguardante i requisiti richiesti per la certificazione. → Qui trovi maggiori informazioni

Le società statunitensi possono avviare la procedura di adeguamento al Privacy Shield secondo quanto indicato qui di seguito:

  • conferma l’idoneità della tua organizzazione al Privacy Shield – Scopri di più;
  • predisponi un’informativa privacy conforme ai principi del Privacy Shield – Scopri di più;
  • identifica, all’interno della tua organizzazione, un meccanismo di ricorso indipendente;
  • assicurati che il meccanismo di verifica della tua organizzazione sia in essere;
  • designa un incaricato all’interno della tua organizzazione per quanto riguarda il Privacy Shield;
  • revisiona le informazioni necessarie per l’autocertificazione;
  • invia l’autocertificazione della tua organizzazione al Dipartimento del Commercio – Scopri di più.

Come predisporre un’informativa privacy conforme ai requisiti del Privacy Shield
Per essere conforme ai requisiti del Privacy Shield, la privacy policy deve contenere una serie di informazioni che mostrano l’impegno preso dall’organizzazione nel rispettare i principi del quadro normativo. La privacy policy, in particolare, ha lo scopo di informare in modo adeguato gli utenti dei loro diritti, e getta le basi della dichiarazione che la società dovrà rispettare ed in riferimento alla quale potrà essere giudicata.

Di seguito illustriamo le modifiche necessarie per rendere la vostra informativa privacy conforme al Privacy Shield e come effettuarle con iubenda.

Informativa privacy conforme al Privacy Shield

Una privacy policy conforme al Privacy Shield comprende molte informazioni attraverso cui l’organizzazione si impegna a rispettare i principi del quadro normativo. La privacy policy ha lo scopo di informare adeguatamente gli utenti circa i loro diritti e traccia i contorni della dichiarazione che l’azienda deve rispettare.

In linea generale è necessario modificare l’informativa privacy della tua organizzazione in modo da allinearla ai principi del Privacy Shield, cercando di rispecchiare quali sono le operazioni commerciali poste in essere dalla propria azienda. Di seguito gli elementi richiesti dall’allegato al Privacy Shield (abbiamo incluso la versione inglese in attesa che venga rilasciata la traduzione italiana da parte della Commissione Europea):

“[a]n organization inform individuals about:
i. its participation in the Privacy Shield and provide a link to, or the web address for, the Privacy Shield List,
ii. the types of personal data collected and, where applicable, the entities or subsidiaries of the organization also adhering to the Principles,
iii. its commitment to subject to the Principles all personal data received from the EU in reliance on the Privacy Shield,
iv. the purposes for which it collects and uses personal information about them,
v. how to contact the organization with any inquiries or complaints, including any relevant establishment in the EU that can respond to such inquiries or complaints,
vi. the type or identity of third parties to which it discloses personal information, and the purposes for which it does so,
vii. the right of individuals to access their personal data,
viii. the choices and means the organization offers individuals for limiting the use and disclosure of their personal data,
ix. the independent dispute resolution body designated to address complaints and provide appropriate recourse free of charge to the individual, and whether it is: (1) the panel established by DPAs, (2) an alternative dispute resolution provider based in the EU, or (3) an alternative dispute resolution provider based in the United States,
x. being subject to the investigatory and enforcement powers of the FTC, the Department of Transportation or any other U.S. authorized statutory body [currently, there is no other U.S. authorized statutory body recognized by the EU],
xi. the possibility, under certain conditions, for the individual to invoke binding arbitration,
xii. the requirement to disclose personal information in response to lawful requests by public authorities, including to meet national security or law enforcement requirements, and
xiii. its liability in cases of onward transfers to third parties.”

Questi sono gli aspetti principali di cui tener conto all’interno della privacy policy al fine di rientrare nei requisiti imposti dal Privacy Shield. Ora cerchiamo di capire nello specifico come apportare queste modifiche attraverso una privacy policy di iubenda.

Integrazione con iubenda

Se stai utilizzando iubenda, abbiamo preparato un servizio che può essere aggiunto alla tua privacy policy al fine di ottenere la certificazione al Privacy Shield. Visita la tua dashboard iubenda, seleziona la privacy policy di tuo interesse, fai click sul pulsante “Aggiungi servizio”, aggiungi il servizio “Partecipazione al Privacy Shield: trasferimenti di dati dall’Unione Europea verso gli Stati Uniti“. Ci sono inoltre alcuni aspetti aggiuntivi di cui devi essere consapevole:

  1. nello scrivere questa integrazione siamo partiti da alcuni presupposti necessari ad adattare il servizio al maggior numero di utenti possibile. Se alcuni degli assunti che trovi all’interno della tabella in basso non si applicano al tuo caso, allora dovrai adattare il servizio in modo che sia applicabile anche alla tua situazione, e apportare le dovute aggiunte alla policy manualmente;
  2. con il passare del tempo, alcune procedure potrebbero cambiare. Ti suggeriamo quindi di tenere d’occhio le novità in tema Privacy Shield, soprattutto in questo periodo iniziale.
Scelte da fare Aspetti non affrontati dal presente modello
Abbiamo bisogno di collegare “l’indirizzo fornito nel presente documento” invece di un indirizzo di posta elettronica dedicato. Non sappiamo quale indirizzo email vorrai utilizzare per le richieste relative al Privacy Shield.

 

In relazione al punto ii) avete imprese controllate/filiali con le quali condividete i dati? Dovrai menzionarle in una clausola dedicata al fine di vincolarle con le stesse modalità ai principi del Privacy Shield.

 

Abbiamo scelto come organismo indipendente di risoluzione delle controversie il comitato stabilito dalle autorità garanti europee che non richiede alcun link al contrario di quanto avviene invece per gli organismi privati. Se si utilizza quindi un organismo privato di risoluzione delle controversie, è necessario modificare questa sezione.

 

In relazione al punto ix) questo modello non si occupa della risoluzione delle controversie attraverso organismi privati, abbiamo infatti optato per le autorità garanti europee che al momento non necessitano di collegamenti diretti.

 

In relazione al punto x) abbiamo ipotizzato che la società sia soggetta alla Commissione Federale del Commercio che è l’opzione più probabile.

 

 

 

In relazione al punto v) non possiamo fornire un collegamento rilevante con enti all’interno dell’Unione Europea poiché non siamo a conoscenza di tali informazioni. Ti suggeriamo di aggiungere una nuova sezione specificando anche questa informazione, se questo si applica al tuo caso.

 

Non ci sono scelte specifiche che il Titolare concede all’Utente

 

In relazione al punto viii) il presente modello non entra nei dettagli relativamente alle scelte che sono concesse agli utenti. Se concedi altre scelte agli utenti, dovrai indicarlo in una sezione aggiuntiva. Ulteriori informazioni riguardo alle scelte.

 

Nessun testo per l’accordo Safe Harbor Svizzera-Stati Uniti

 

Stiamo volutamente escludendo qualsiasi espressione relativa alle opzioni Safe Harbor per la Svizzera in quanto non sarebbe verosimile pensare che ogni azienda abbia una certificazione Safe Harbor.

 

Testo integrativo di iubenda

Questo è il testo che stiamo attualmente suggerendo come modello di partenza, e che è completamente integrato all’interno del nostro generatore. Lo trovi sotto la dicitura “Partecipazione al Privacy Shield: trasferimenti di dati dall’Unione Europea verso gli Stati Uniti”. Questa clausola funziona proprio come le altre integrazioni di iubenda: dopo averlo selezionato sarà aggiunto alla privacy policy automaticamente.

Inoltre, quando aggiungerai una delle 8 lingue disponibili alla tua privacy policy, anche il testo contenuto in questa clausola verrà tradotto.

Ecco il testo integrale nel caso in cui si renda necessario apportare delle modifiche secondo quanto indicato sopra (ti ricordiamo che l’eventuale testo modificato deve essere integrato alla policy sotto forma di una clausola personalizzata).

Partecipazione al Privacy Shield: trasferimenti di dati dall’Unione Europea verso gli Stati Uniti

Il Titolare partecipa e si conforma con il quadro (la struttura) relativa al Privacy Shield (anche chiamato “Scudo UE-USA per la privacy”) come stabilito dal Dipartimento del Commercio degli Stati Uniti in riferimento alla raccolta, l’utilizzo e la conservazione di Dati personali trasferiti dall’Unione Europea agli Stati Uniti. Il Titolare ha certificato al Dipartimento del Commercio degli Stati Uniti che egli aderisce ai principi del Privacy Shield.

In caso di conflitto tra i termini di questa privacy policy e i principi del Privacy Shield, questi ultimi dovranno prevalere. Per avere maggiori informazioni sul programma Privacy Shield, e per visualizzare la certificazione del Titolare, si prega di visitare il sito: https://www.privacyshield.gov/ (oppure visita il link diretto alla lista dei partecipanti al Privacy Shield mantenuta dal Dipartimento del Commercio USA https://www.privacyshield.gov/list).

Che cosa significa questo per gli Utenti europei?

Il Titolare è responsabile per tutti i trattamenti di Dati Personali che egli riceve nell’ambito del quadro legislativo del Privacy Shield da Utenti dell’Unione Europea e si impegna ad assoggettare i Dati Personali così trattati ai Principi del Privacy Shield.

Questo, soprattutto, include il diritto di accesso degli individui ai propri dati personali trattati dal Titolare.

Il Titolare inoltre si conforma ai Principi del Privacy Shield anche per tutti i trasferimenti successivi di Dati Personali dall’Unione Europea, il che significa che rimane responsabile in caso di successivi trasferimenti a terzi.

Per quanto riguarda i Dati Personali ricevuti o trasferiti ai sensi del quadro legislativo del Privacy Shield, il Titolare è soggetto ai poteri di indagine e coercitivi della Commissione Federale del Commercio (FTC), se non diversamente specificato nella presente informativa sulla privacy.

Il Titolare è ulteriormente tenuto a comunicare i Dati Personali in seguito a richieste legittime effettuate da autorità pubbliche al fine di soddisfare i requisiti di sicurezza nazionale o di applicazione della legge.

Risoluzione delle controversie nel quadro del Privacy Shield

In conformità ai principi del Privacy Shield il Titolare si impegna a definire i reclami circa la raccolta o l’utilizzo dei Dati Personali dell’Utente. I cittadini dell’Unione Europea che abbiano richieste di informazioni o reclami riguardanti questa Informativa Privacy, dovrebbero prima contattare il Titolare utilizzando i recapiti forniti all’inizio di questo documento, facendo riferimento al “Privacy Shield” e il reclamo dovrebbe essere trattato entro 45 giorni.

Nel caso in cui il Titolare non sia stato in grado di fornire una risposta soddisfacente o tempestiva, l’Utente ha la facoltà di richiedere l’intervento di un organo di risoluzione delle controversie indipendente, a titolo gratuito.

A questo proposito, il Titolare ha acconsentito a collaborare con il comitato stabilito dalle Autorità Garanti Europee della protezione dei dati nonché a rispettare il parere espresso dal gruppo per quanto riguarda i dati trasferiti dall’Unione Europea. L’Utente può quindi contattare il Titolare all’indirizzo e-mail fornito all’inizio del presente documento al fine di ricevere i relativi contatti dell’Autorità Garante della protezione dei dati.

In determinate condizioni – disponibili in modo completo sul sito relativo al Privacy Shield (https://www.privacyshield.gov/article?id=How-to-Submit-a-Complaint) – l’Utente può avvalersi di un arbitrato vincolante quando le altre procedure di risoluzione siano state esaurite.


Hai ancora domande?

Visita il nostro forum di supporto Scrivici via email