L’accordo raggiunto tra le autorità europee ed americane sul privacy safe harbor 2.0 per il trasferimento dei dati personali negli Stati Uniti ha dato vita a reazioni entusiaste. Ma quale è l’impatto delle nuove regole sulle società americane?
Cosa era successo al Safe Harbor?
Vi avevo già raccontato dell’invalidazione dei principi del Safe Harbor che rappresentavano il fondamento giuridico sulla base del quale gran parte delle società americane trasferiva i dati personali dei propri utenti europei dalla Comunità europea agli Stati Uniti. La decisione della Corte di Giustizia europea di annullare tali regole aveva creato un clima di “panico” generale poiché anche gli strumenti alternativi messi a disposizione dalla Commissione europea quali le c.d. model clauses e le binding corporate rules rischiavano di essere invalidati.
I garanti europei avevano concesso un “periodo di grazia” alle società americane fino alla fine di gennaio 2016 durante il quale si impegnavano a non contestare il trasferimento dei dati personali negli Stati Uniti a causa della situazione di incertezza.
L’avvento del EU-US Privacy Shield
Con due giorni ritardo rispetto alla scadenza del periodo di grazia, le autorità europee ed americane hanno fatto i propri “homework” dichiarando di aver raggiunto un accordo sul “EU-US Privacy Shield”. Questo rappresenta il nuovo schema sulla base del quale i dati saranno trasferiti negli Stati Uniti.
Il Privacy Shield non è ancora in vigore, ma le autorità europee e americane stanno implementando tutte le misure necessarie per la sua adozione che si attende nei prossimi 3 mesi.
Le società americane possono stare tranquille ora?
I contenuti del Privacy Shield sono già stati discussi su TechEconomy, ma ciò che secondo me è più rilevante riguarda l’impatto di queste regole sul business delle società americane.
Chi aderisce al Privacy Shield dovrà dichiararlo pubblicamente il che rende tale impegno pari ad un obbligo di legge ai sensi della normativa americana. In caso di violazione delle sue regole, le società Usa potrebbero essere oggetto di un processo di contestazione sia da parte delle autorità americane che delle autorità privacy europee.
C’è un rischio di doppia sanzione per le imprese americane?
Secondo il comunicato stampa le sanzioni per la violazione delle regole del privacy shield saranno “significative“. Ma poiché queste regole saranno vincolanti ai sensi della normativa americana è da supporre che le autorità americane stesse emetteranno queste sanzioni.
Tuttavia, le medesime violazioni con molta probabilità comporteranno anche una violazione delle norme del nuovo regolamento privacy europeo che prevede sanzioni fino al 4% del fatturato globale della società che commette la violazione.
A cosa stiamo assistendo negli ultimi tempi?
Quanto descritto in precedenza non rappresenta un “fulmine a ciel sereno” per le imprese americane. Molte multinazionali hanno già trasferito in Europa i server dedicati al proprio business europeo al fine di limitare i rischi, gli adempimenti e le possibili sanzioni derivanti da obblighi privacy maggiormente onerosi.
E questo deriva anche da una normativa fiscale in materia di c.d. stabile organizzazione o permanent establishment che sta sempre più espandendosi per poter abbracciare il principio secondo cui il regime fiscale applicabile in caso di business “digitali” è quello del Paese in cui la propria clientela è situata piuttosto che quello della sede della società. Ne consegue che i vantaggi di non avere sede in Europa stanno notevolmente diminuendo.
Sicuramente è un periodo interessante da monitorare molto da vicino che potrebbe avere degli sviluppi inattesi. Vi lascio con una domanda che non ha avuto ancora una risposta…
Se il Privacy Shield entrerà in vigore tra 3 mesi e il periodo di grazia è scaduto, cosa bisogna fare ora per il trasferimento dei dati negli Stati Uniti?
L'articolo Privacy Safe Harbor 2.0 – Una rivoluzione per le imprese americane? è stato pubblicato originariamente su Tech Economy - The Business Value of Technology.