1) Gli elementi richiesti dall’accordo sono tutti esistenti e funzionanti? L’accordo di Safe Harbor prevede che i competenti organismi USA (Dipartimento del commercio, FTC) ed i Paesi membri dell’UE prendano determinate iniziative per favorire l’applicazione delle relative disposizioni. Queste misure risultano in atto su entrambe le sponde dell’Atlantico: possibilità per le imprese USA di autocertificare on-line l’adesione al Safe Harbor, creazione di un sito ad hoc presso il Dipartimento del Commercio USA, distribuzione di un "manuale" destinato alle imprese per spiegare l’applicazione dell’accordo; adozione da parte degli Stati membri UE di disposizioni nazionali per recepire la decisione della Commissione europea in merito all’adeguatezza dell’accordo di Safe Harbor (per l’Italia, vedi il provvedimento autorizzativo del Garante pubblicato il 26 novembre 2001 sulla Gazzetta Ufficiale); istituzione di un "panel", ossia di un organo collegiale formato da rappresentanti dei Garanti europei che ha il compito di occuparsi dei ricorsi presentati contro quelle imprese USA che scelgano di ricorrere all’arbitrato di tale organismo anziché a quello di organismi per la risoluzione delle controversie con sede negli USA.

2) I ricorsi in materia sono stati gestiti in modo soddisfacente? Il panel formato dalle Autorità garanti europee non ha sinora ricevuto alcun ricorso, ed anche la FTC non ha ricevuto segnalazioni di ricorsi irrisolti in materia di Safe Harbor. Va segnalato che sono sei gli organismi privati USA scelti dalle imprese statunitensi ai fini della risoluzione di eventuali controversie, e 54 sono le imprese che hanno scelto di utilizzare tali organismi anziché il panel sopra menzionato.

3) Le informazioni fornite sui siti web delle imprese aderenti sono conformi agli obblighi previsti dall’accordo? In questo caso la situazione lascia molto a desiderare. In primo luogo, infatti, molte imprese non hanno pubblicato sul proprio sito web una dichiarazione che, come richiesto dall’accordo, sancisca la rispettiva adesione ai principi dell’Accordo stesso, e in alcuni casi non è possibile neppure accedere alla dichiarazione della politica seguita in materia di privacy che viene citata nell’autocertificazione delle imprese. Ciò vale, in modo particolare, per quelle imprese che hanno dichiarato di aderire all’accordo solo per trasferire dati in materia occupazionale dall’UE agli USA: molte di tali imprese si sono limitate ad autocertificare al Dipartimento per il Commercio la propria adesione al Safe Harbor, indicando l’approccio seguito in materia di privacy e le informazioni concernenti il meccanismo del Safe Harbor soltanto sulla propria intranet o su manuali interni. C’è dunque un deficit di trasparenza. In secondo luogo, anche le imprese che hanno pubblicato le informazioni richieste hanno omesso di fornire indicazioni importanti — ad esempio, il principio per cui gli interessati hanno il diritto di accedere ai propri dati, e di correggere i dati inesatti. La Commissione Europea sottolinea che ciò non significa che l’accesso sia negato nei fatti; tuttavia, è chiaro che un’informazione parziale non è rispettosa dei termini dell’accordo e può anche indicare un fraintendimento (voluto o meno) dei principi stessi. Questo deficit di informazione è particolarmente grave in quelle imprese che omettono di specificare le modalità di presentazione di un ricorso presso gli organismi indipendenti per la risoluzione delle controversie o presso il panel sopra descritto. Per citare il rapporto, "l’effetto ultimo è che i singoli possono non conoscere le norme che si applicano all’elaborazione dei loro dati o i modi per esercitare loro legittimi diritti."

4) I soggetti incaricati della risoluzione di eventuali controversie rispettano i requisiti previsti dall’accordo? I sei organismi citati dalle imprese USA per quanto riguarda la risoluzione di possibili controversie in materia di Safe Harbor non risultano tutti egualmente in regola con le disposizioni dell’accordo. Da un lato, infatti, non tutti dichiarano di aderire ai principi dell’accordo nella gestione delle informazioni di cui possono entrare in possesso; d’altro canto, anche se le capacità sanzionatorie di questi organismi risultano, a giudizio della Commissione, abbastanza rigorose da garantire il rispetto dei principi, solo due di essi si sono impegnati a dare pubblica diffusione degli esiti delle procedure di ricorso trattate — mentre il principio di pubblicità è fra quelli che l’accordo menziona come necessari per garantire l’efficacia sanzionatoria del Safe Harbor.