Documentazione

Privacy Shield e iubenda – Guida all’integrazione

Scopri di più sul Privacy Shield, cosa comporta per te e come puoi servirti di iubenda per ottenere la certificazione.

Contenuti

Privacy Shield e iubenda

Introduzione al Privacy Shield

Che cos’è il Privacy Shield?

Il Privacy Shield è un accordo stipulato affinché i dati trasferiti dall’UE agli Stati Uniti siano protetti secondo gli standard approvati dalla Commissione anche una volta fuoriusciti dai confini dell’Unione (e della Svizzera).

Questa la descrizione fornita dalla Commissione Europea:

Il Privacy Shield UE-US impone obblighi più severi alle società statunitensi per proteggere i dati personali degli europei. Riflette i requisiti della Corte di Giustizia europea, che ha invalidato il precedente quadro Safe Harbor. Il Privacy Shield richiede che gli Stati Uniti controllino e applichino più rigorosamente la normativa e cooperino più strettamente con le autorità europee per la protezione dei dati. Per la prima volta comprende inoltre impegni scritti e garanzie in merito all’accesso ai dati da parte delle autorità pubbliche.

Ciò significa che:

  • Le società statunitensi che vogliono aderire dovranno:
    • dichiarare che soddisfano i requisiti con un’autocertificazione a cadenza annuale;
    • mostrare una privacy policy sul proprio sito web;
    • rispondere prontamente ai reclami sull’argomento;
    • (se si tratta di dati relativi le risorse umane) cooperare e conformarsi alle autorità europee per la protezione dei dati.
  • Le società europee e svizzere che desiderano trasferire i dati negli Stati Uniti in modo conforme possono affidarsi alle garanzie del quadro normativo per il trasferimento alle aziende partecipanti.
Alcuni punti da prendere in considerazione
  • Il Privacy Shield riguarda solo le aziende che trasferiscono dati di utenti UE o svizzeri negli Stati Uniti.
  • Se un’azienda effettua questo tipo di trasferimenti tramite un partner/fornitore (ad esempio, utilizzando un servizio di web analytics con server negli Stati Uniti), è il partner che deve adeguarsi, ma è necessario che titolare e responsabile del trattamento stipulino un contratto di nomina a responsabile (DPA).
  • Non basta avere una privacy policy per essere conformi al Privacy Shield: ci sono infatti anche altri requisiti da rispettare.

Maggiori dettagli (in inglese) nel factsheet sul sito della Commissione Europea.

A seguire scopriremo di più sull’autocertificazione, sui modi in cui può aiutarti iubenda e su cosa comporta il Privacy Shield per le società statunitensi, europee e svizzere che devono gestire trasferimenti di dati dall’UE agli Stati Uniti.

Che cosa si intende per certificazione al Privacy Shield?

Questo framework ha lo scopo di proteggere i dati personali dei cittadini europei dopo il trasferimento negli Stati Uniti e si correla con i requisiti GDPR per il trasferimento dei dati all’estero.

Per le società europee

Per le aziende europee, tra i modi per trasferire correttamente i dati dall’Europa agli Stati Uniti figurano le clausole contrattuali, le norme vincolanti d’impresa e il Privacy Shield. La normativa dell’UE vieta che i dati personali dei suoi cittadini vengano trasferiti al di fuori dei propri confini in paesi che non garantiscono un livello adeguato di protezione.

In generale l’UE ritiene che gli USA non siano dotati di un sufficiente livello di protezione. Il Privacy Shield ha lo scopo di porvi rimedio, agendo come meccanismo rivisto per il trasferimento sicuro dei dati negli Stati Uniti.

Se ti stai appoggiando a società statunitensi per elaborare i dati, potrebbe valere la pena privilegiare quelle che hanno ottenuto la certificazione Privacy Shield, in quanto basarsi sugli altri meccanismi di trasferimento autorizzati dal GDPR, norme vincolanti d’impresa, clausole contrattuali standard e consenso individuale esplicito e informato (Articolo 49), può risultare più complicato.

Attenzione

Sappi che i titolari del trattamento che rientrano nell’ambito del GDPR sono sempre tenuti a stipulare un contratto quando si verifica un trasferimento di dati ai fini del trattamento. Ciò vale sia che quest’ultimo avvenga all’interno o all’esterno dell’UE, sia che il responsabile del trattamento aderisca o meno al Privacy Shield.

Inoltre, che sia titolare del trattamento → titolare del trattamento (ad esempio un trasferimento tra le sue filiali UE e USA) o titolare del trattamento → responsabile del trattamento, per qualsiasi trasferimento transfrontaliero dei dati personali di cittadini europei va utilizzato un meccanismo approvato dal GDPR (Privacy Shield, norme vincolanti d’impresa, clausole contrattuali standard o consenso individuale esplicito e informato).

Laddove il trasferimento è titolare del trattamento → titolare del trattamento, le norme vincolanti d’impresa sono considerate il meccanismo più adatto, specialmente quando il titolare ha filiali in più paesi (ricordiamo infatti che il Privacy Shield UE-USA si applica solo agli Stati Uniti).

Visita il sito della Commissione Europea per l’elenco dei paesi non UE considerati adeguati.

Per le società svizzere

Poiché la Svizzera ha aderito al Privacy Shield, le stesse regole delle aziende UE valgono anche per le aziende svizzere. Trovi tutti i documenti relativi sul sito dell’IFPDT svizzero. Su privacyshield.gov trovi invece le risposte alle domande più frequenti.

Per le società statunitensi

Ci sono molte condizioni che le società statunitensi devono rispettare per aderire al Privacy Shield. Una è fornire una privacy policy in cui sono delineati tutti i requisiti di notifica. Sul blog trovi i requisiti più ampi indicati nell’allegato Privacy Shield.

All’indirizzo privacyshield.gov/US-Businesses trovi invece un’ampia documentazione dedicata alle condizioni di certificazione.

Ecco i passi che le società statunitensi devono seguire:

  1. confermare l’idoneità della propria organizzazione;
  2. predisporre un’informativa sulla privacy conforme ai principi del Privacy Shield;
  3. identificare un meccanismo di ricorso indipendente all’interno della propria organizzazione;
  4. assicurarsi che il meccanismo di verifica della propria organizzazione sia in atto;
  5. designare un incaricato all’interno della propria organizzazione;
  6. rivedere le informazioni richieste per l’autocertificazione;
  7. inviare l’autocertificazione al Dipartimento del Commercio.

La privacy policy del Privacy Shield informa le persone sui loro diritti e stabilisce gli standard legali che devono essere rispettati dall’azienda. Secondo il Dipartimento del Commercio, è necessario stendere una privacy policy conforme allo Privacy Shield prima di presentare l’autocertificazione (qui le FAQ).

Requisiti della privacy policy

Una privacy policy conforme al Privacy Shield comprende molte informazioni attraverso cui l’organizzazione si impegna a rispettare i principi del quadro normativo. La privacy policy ha lo scopo di informare adeguatamente gli utenti circa i loro diritti e traccia i contorni della dichiarazione che l’azienda deve rispettare.

In linea generale è necessario modificare l’informativa privacy della tua organizzazione in modo da allinearla ai principi del Privacy Shield, rispecchiando le operazioni commerciali della propria azienda. Di seguito gli elementi richiesti dall’allegato al Privacy Shield:

L’organizzazione deve informare le persone:

  1. della sua adesione allo scudo, fornendo un collegamento ipertestuale o l’indirizzo Internet in cui è reperibile l’elenco degli aderenti allo scudo;

  2. dei tipi di dati personali raccolti e, se del caso, dei soggetti o delle filiali che fanno capo ad essa e che aderiscono anch’essi ai principi;

  3. del suo impegno di attenersi ai principi per tutti i dati personali ricevuti dall’UE in virtù dello scudo;

  4. delle finalità alle quali raccoglie e usa informazioni personali che le riguardano;

  5. del modo in cui contattare l’organizzazione per trasmettere richieste di informazioni o reclami, indicando anche i soggetti stabiliti nell’UE che possono eventualmente rispondervi;

  6. del tipo o dell’identità dei terzi cui comunica dati personali indicando le finalità della comunicazione;

  7. del diritto di accedere ai dati personali che le riguardano;

  8. delle opzioni e dei mezzi che mette a loro disposizione per limitare l’uso e la divulgazione dei dati personali che le riguardano;

  9. dell’organo indipendente di composizione delle controversie incaricato di trattare i reclami e di mettere a disposizione della persona, gratuitamente, mezzi di ricorso adeguati, indicando se si tratta:

    • del comitato istituito dalle autorità di protezione dei dati,
    • di un organo alternativo di composizione delle controversie basato nell’UE oppure
    • di un organo alternativo di composizione delle controversie basato negli USA;
  10. di essere sottoposta all’autorità d’indagine e di controllo dell’FTC, del Dipartimento dei Trasporti o di altro ente competente per legge autorizzato negli USA;

  11. della possibilità di chiedere, a determinate condizioni, un arbitrato vincolante;

  12. dell’obbligo di comunicare informazioni personali in risposta a legittime richieste delle autorità pubbliche, tra l’altro per motivi di sicurezza nazionale o di applicazione della legge;

  13. della responsabilità che le incombe in caso di ulteriore trasferimento dei dati a terzi.

Questi sono i punti principali che devi affrontare nella stesura di una privacy policy conforme al Privacy Shield. Ora diamo un’occhiata più da vicino a come funziona l’integrazione con iubenda.

Integrazione con iubenda

Abbiamo preparato un servizio che può essere aggiunto alla tua privacy policy al fine di ottenere la certificazione al Privacy Shield. Accedi alla dashboard, seleziona la privacy policy di tuo interesse, clicca sul pulsante “Aggiungi servizio” e scegli “Partecipazione al Privacy Shield: trasferimenti di dati dall’Unione Europea verso gli Stati Uniti“.

Teniamo a precisare un paio di aspetti:

  • nello scrivere questa integrazione siamo partiti da alcuni presupposti necessari ad adattare il servizio al maggior numero di utenti possibile. Dovrai apportare manualmente le dovute modifiche e aggiunte alla policy se alcuni degli assunti che trovi nella tabella seguente non si applicano completamente alla tua situazione.

  • alcune procedure potrebbero cambiare con il passare del tempo. Ti suggeriamo quindi di tenere d’occhio periodicamente le novità in tema Privacy Shield.

Il Privacy Shield ti obbliga a prendere decisioni e a fornire informazioni che dipendono dal caso specifico.

Contenuti previsti dall’integrazione attuale Aspetti che potresti dover aggiungere
Fornire un indirizzo di contatto per gestire le richieste relative al Privacy Shield: per impostazione predefinita la policy contiene le informazioni di contatto del titolare del trattamento fornite nel campo Titolare del sito web. Poiché il Privacy Shield richiede un indirizzo dedicato per la gestione delle richieste e dei reclami inerenti la privacy policy, dovrai aggiungere queste informazioni alla tua policy se l’indirizzo aggiunto nel campo Titolare del sito web non coincide con quello dedicato alle questioni della privacy policy.
[Punto 2] Per impostazione predefinita, la policy non contiene riferimenti a filiali o succursali in quanto non tutte le organizzazioni ne sono provviste. Qualora siano presenti filiali con cui condividere i dati, sarà necessario menzionarle in un’altra clausola.
[Punto 9] Per impostazione predefinita, la policy indica il pannello europeo dei DPA come organo indipendente di risoluzione delle controversie, di cui non serve – a differenza degli organi privati – indicare il link. Se ci si appoggia a un organo privato, è necessario aggiungere una sezione contenente l’indirizzo.
[Punto 5] Per impostazione predefinita, la policy non rimanda ad alcuna istituzione pertinente che potrebbe essere stata nominata nell’UE per gestire richieste o reclami poiché non possiamo conoscere questi dettagli. Se hai nominato un’istituzione con sede nell’UE o hai un ufficio con sede nell’UE per gestire richieste o reclami relativi al Privacy Shield, dovrai specificarlo in una clausola aggiuntiva (come spiegato più avanti).
[Punto 8] Per impostazione predefinita, la policy non entra nel dettaglio delle opzioni e dei mezzi a disposizione degli utenti. Se offri tali opzioni, devi dichiararlo in una sezione aggiuntiva (come spiegato di seguito). Ricorda che alcune opzioni devono essere obbligatoriamente offerte agli utenti in base all’elaborazione che fai. Per maggiori informazioni visita privacyshield.gov.

Testo di iubenda

Il testo che suggeriamo come modello di partenza è completamente integrato nel nostro generatore e lo puoi trovare sotto la dicitura “Partecipazione al Privacy Shield: trasferimenti di dati dall’Unione Europea verso gli Stati Uniti“. 

Questa clausola funziona come le altre integrazioni di iubenda e sarà aggiunta alla privacy policy dopo averla selezionata. Alla stregua degli altri servizi pre-configurati, il testo contenuto sarà tradotto automaticamente quando aggiungerai una delle 8 lingue disponibili.

Ecco il testo integrale, qualora dovessi apportare delle modifiche secondo quanto indicato sopra (ti ricordiamo che l’eventuale testo modificato andrà integrato nella policy sotto forma di servizio personalizzato e che in tal caso non verrà tradotto automaticamente):

Partecipazione al Privacy Shield: trasferimenti di dati dall’Unione Europea verso gli Stati Uniti

Il Titolare ha aderito e rispetta le norme di cui al “Privacy Shield Framework” come stabilite dal Dipartimento del Commercio degli Stati Uniti con riferimento alla raccolta, l’utilizzo e la conservazione di Dati personali trasferiti dall’Unione Europea o dalla Svizzera agli Stati Uniti. Salvo ove diversamente previsto, le regole ed i diritti sotto specificati sono pertanto ugualmente ed esplicitamente applicabili ad Utenti domiciliati in Svizzera.
Il Titolare ha certificato presso il Dipartimento del Commercio degli Stati Uniti la propria adesione ai Principi del Privacy Shield.

In caso di conflitto tra i termini di questa privacy policy e i principi del Privacy Shield, questi ultimi dovranno prevalere. Per avere maggiori informazioni sul programma Privacy Shield, e per visualizzare la certificazione del Titolare, si prega di visitare il sito: https://www.privacyshield.gov (oppure visita il link diretto alla lista dei partecipanti al Privacy Shield mantenuta dal Dipartimento del Commercio USA https://www.privacyshield.gov/list).

Che cosa significa questo per gli Utenti europei?

Il Titolare è responsabile per tutti i trattamenti di Dati Personali che egli riceve nell’ambito del quadro legislativo del Privacy Shield da Utenti dell’Unione Europea e si impegna ad assoggettare i Dati Personali così trattati ai Principi del Privacy Shield.

Questo, soprattutto, include il diritto di accesso degli individui ai propri dati personali trattati dal Titolare.

Il Titolare inoltre si conforma ai Principi del Privacy Shield anche per tutti i trasferimenti successivi di Dati Personali dall’Unione Europea, il che significa che rimane responsabile in caso di successivi trasferimenti a terzi.

Per quanto riguarda i Dati Personali ricevuti o trasferiti ai sensi del quadro legislativo del Privacy Shield, il Titolare è soggetto ai poteri di indagine e coercitivi della Commissione Federale del Commercio (FTC), se non diversamente specificato nella presente informativa sulla privacy.

Il Titolare è ulteriormente tenuto a comunicare i Dati Personali in seguito a richieste legittime effettuate da autorità pubbliche al fine di soddisfare i requisiti di sicurezza nazionale o di applicazione della legge.

Risoluzione delle controversie nel quadro del Privacy Shield

In conformità ai principi del Privacy Shield il Titolare si impegna a definire i reclami circa la raccolta o l’utilizzo dei Dati Personali dell’Utente. I cittadini dell’Unione Europea che abbiano richieste di informazioni o reclami riguardanti questa Informativa Privacy, dovrebbero prima contattare il Titolare utilizzando i recapiti forniti all’inizio di questo documento, facendo riferimento al “Privacy Shield” e il reclamo dovrebbe essere trattato entro 45 giorni.

Nel caso in cui il Titolare non sia stato in grado di fornire una risposta soddisfacente o tempestiva, l’Utente ha la facoltà di richiedere l’intervento di un organo di risoluzione delle controversie indipendente, a titolo gratuito.

A questo proposito, il Titolare ha acconsentito a collaborare con il comitato stabilito dalle Autorità Garanti Europee della protezione dei dati nonché a rispettare il parere espresso dal gruppo per quanto riguarda i dati trasferiti dall’Unione Europea. L’Utente può quindi contattare il Titolare all’indirizzo e-mail fornito all’inizio del presente documento al fine di ricevere i relativi contatti dell’Autorità Garante della protezione dei dati.

In determinate condizioni – disponibili in modo completo sul sito relativo al Privacy Shield (https://www.privacyshield.gov/article?id=How-to-Submit-a-Complaint) – l’Utente può avvalersi di un arbitrato vincolante quando le altre procedure di risoluzione siano state esaurite.


Per leggere il testo integrale (in inglese) del Privacy Shield: privacyshield.gov/EU-US-Framework