Testata iscritta al tribunale di Roma n. 129/2012 del 3/5/2012. ISSN: 2280-4188

Il Documento Digitale

NUOVA INTESA CON GLI USA SUL TRASFERIMENTO DEI DATI

di Valentina Frediani

Nel furto di credenziali, l’attaccante cattura le credenziali di accesso da un sistema compromesso, e le riutilizza per accedere sulla rete a tutti i sistemi dove quelle credenziali sono valide. Esiste un principio che, se rispettato nell’ambito dei processi di amministrazione, aiuta a minimizzare questa tipologia di rischio: è il principio di evitare di esporre credenziali privilegiate su sistemi meno privilegiati e potenzialmente compromessi. Un utente privilegiato dovrebbe quindi evitare di compiere attività rischiose (come navigare o leggere la posta) dalla stessa postazione che usa per fare attività di amministrazione. Microsoft ha introdotto sul mercato nel 2015 la soluzione denominata Advanced Threat Analytics (ATA), che fornisce in modo semplice e veloce la possibilità di identificare le attività sospette di utenze e sistemi, e di fornire informazioni sulle minacce chiare e rilevanti su un timeline dell’attacco di facile lettura.

pdf-icon

 

Come già noto, con la sentenza del 6 ottobre 2015 la Corte di Giustizia UE ha deciso sull’invalidità della Decisione c.d. del “Safe Harbor”, Allegato I alla Decisione della Commissione Europea 00/520/CE, del 26 luglio 2000, individuati direttamente in un protocollo sviluppato dall’ US State Department, in collaborazione il Parlamento europeo ed il Consiglio europeo, che per ben 15 anni ha normato i trasferimenti dei dati personali dall’Unione Europea verso gli USA.
In relazione ai vecchi principi di approdo sicuro, una volta che una società si certificava “Safe Harbor”, mediante apposita autocertificazione, veniva ritenuta automaticamente “adeguata” da parte dell’UE per quanto riguarda la conservazione e il trattamento dei dati personali e sensibili trasferiti dall’Europa in America del nord.

1.     L’accordo
Il nuovo e ora rinominato accordo “EU-US Privacy Shield” ha, o forse meglio dire avrà, l’obiettivo principale di tutelare i diritti fondamentali dei cittadini europei e riassumere la certezza giuridica per le imprese che operano negli Stati Uniti d’America.
Il nuovo meccanismo consentirà i trasferimenti di dati personali dall’Unione Europea agli USA. Tale affermazione si legge nel comunicato stampa della Commissione europea del 29 febbraio scorso, attraverso il quale sono stati presentati i principali punti di accordo. Sempre secondo il comunicato, in particolare, dovrà essere garantita una maggiore certezza nel trattamento dei dati delle aziende e dei privati. Il meccanismo di protezione dei dati dovrà risultare più stringente rispetto ai principi del vecchio Safe Harbor e quindi ancor più aderente ai dettami e adempimenti imposti dalla vigente normativa.
Più specificamente nell’accordo dovranno essere previsti i seguenti punti fermi, individuati dalla Commissione UE la quale si era da tempo soffermata sull’adeguatezza dei presupposti del “Safe Harbor”:
Innanzitutto un generale obbligo per le aziende americane che trattano i dati personali di interessati facenti parte dell’UE negli Stati Uniti a rendere pubblica l’applicazione delle norme europee ed il loro impegno a rispettare la privacy. Si passerà così dalle autocertificazioni di Safe Harbor agli “impegni vincolanti” del “EU-US Privacy Shield”. Tale pubblicazione sarà monitorata dal Department of Commerce americano che sarà incaricato a tale scopo, oltre a monitorare l’effettiva applicazione degli obblighi da parte delle aziende, così come sul rispetto delle decisioni delle Autorità garanti europee;
Secondo il “Notice Principle”, le aziende avranno l’obbligo di informare gli interessati in merito agli elementi principali legati al trattamento dei loro dati personali (ad esempio i dati raccolti, le modalità di trattamento, i diritti loro spettanti, le finalità, etc). Inoltre spetterà alle aziende stesse l’onere di pubblicare le loro procedure e policy per la gestione dei dati personali, nonché una serie di ulteriori adempimenti pratici volti a dare evidenza dell’aderenza al Privacy Shield;
Il “Choice Principle”, prevede che gli interessati possano opporsi alla divulgazione dei loro dati personali ad una terza parte diversa da un soggetto che agisca per conto del’azienda (e da essa autorizzato), oppure si oppongano all’utilizzo dei dati per una finalità sostanzialmente differente a quella inizialmente perseguita. Si tratterà di una scelta in modalità “opt out”, dove quindi l’interessato si attiva per negare il consenso (attenzione poiché tale sistema verrà applicato anche nel caso del direct marketing, pur essendo consentito un “opt out” libero e in qualsiasi momento). Ciò a meno che non si tratti di dati sensibili, nel qual caso il sistema viene ribaltato;
Il “Security Principle”, impone alle aziende che trattino dati personali di predisporre misure di sicurezza “idonee e sufficienti”, in relazione ai rischi derivanti dal trattamento e dalla tipologia dei dati trattati. Regole specifiche sono previste anche nel caso dei c.d. “sub-contractors”, con l’estensione della garanzia del livello minimo di protezione dei dati personali trattati anche a questi ultimi. In pratica tale adempimento si tradurrà in apposito contratto che vincoli i sub-fornitori al rispetto delle regole a cui è tenuta l’azienda;
Si applicherà poi il “Data Integrity and Purpose Limitation Principle”, che muta essenzialmente i “nostri” principi di necessità e proporzionalità, richiedendo un utilizzo dei dati, esatti ed aggiornati, in linea con le finalità espresse. La conseguenza diretta è l’inutilizzabilità di dati trattati difformemente a quanto sopra riportato;
Il principio di “Accountability for Onward Transfer”, prevede che il trasferimento dei dati personali, da un’azienda verso un autonomo titolare o un responsabile, possa avvenire solo per specifiche e limitate finalità, in base ad un contratto (o ad accordi infragruppo) a patto che sia garantito lo stesso livello di protezione previsto nel Privacy Shield. Ciò deve esser considerato in relazione all’insorgere di responsabilità, in quanto l’azienda che abbia trasferito I dati personali sarà da ritenersi responsabile a meno che non dia prova di una diretta responsabilità degli altri soggetti coinvolti nel trasferimento stesso;
Infine il “Recourse, Enforcement and Liability Principle”, impone che le aziende che rientrino nel framework del Privacy Shield debbano predisporre meccanismi ”robusti” al fine di assicurare il rispetto dei suddetti Principi, nonché la possibilità per gli interessati, di proporre ricorso nei casi in cui vi sia stato un trattamento non- compliant. Nel caso un’azienda decida di aderire al nuovo “scudo privacy”, il rispetto dei Principi diviene obbligatorio e richiede che, annualmente, la stessa azienda proceda ad un’autocertificazione per confermare e mantenere l’adesione. Questa autcertficazione passa, anche, da un (auto) controllo sull’effettività dell’aplicazine dei Principi, tramite l’istituzione di procedure interne che assicurino una formazione ai dipendenti ed un’implementazione, effettiva, delle policies in merito alla tutela dei dati personali. In ogni caso le modalità di verifica di effettivo adempimento rimarranno prevalentemente interne all’azienda.

2.     Il nuovo Regolamento europeo in materia di privacy in relazione al trasferimento dei dati all’estero
Secondo il nuovo Regolamento in via di approvazione, in specifico il Capo V titolato appunto “Il Trasferimento di dati personali verso Paesi terzi”, il trasferimento verso un paese terzo o un’organizzazione internazionale è ammesso previa decisione di adeguatezza della Commissione. La valutazione della Commissione quindi ha seguito questi elementi:
lo stato di diritto, ovvero il rispetto dei diritti fondamentali, la pertinente legislazione anche in materia di tutela del dato personale, le misure di sicurezza eventualmente adottate in ipotesi di trasferimenti del dato personale, i precedenti giurisprudenziali, i diritti degli interessati nonché la loro effettiva possibilità di presentare un ricorso avanti le competenti sedi giudiziarie;
l’esistenza di autorità di controllo competenti a garantire il rispetto delle norme in materia di tutela di dati personali;
gli impegni internazionali assunti dal paese terzo.

Le decisioni di adeguatezza dovranno essere periodicamente revisionate dalla Commissione Europea, in modo da valutare le modifiche intervenute nel paese terzo/organizzazione internazionale. Se non più adeguate allo stato di fatto e/o di diritto sussistente nel paese terzo potranno essere revocate dalla Commissione Europea, senza effetto retroattivo.
Le decisioni di adeguatezza emanate in base alla Direttiva CE/95/46 restano in vigore, a meno che non siano modificate o abrogate dalla Commissione medesima.
Tenuto in considerazione quanto sopra, comunque, il Regolamento in bozza precisa che in assenza di una decisione di adeguatezza, il titolare o il responsabile possono trasferire i dati personali in presenza di adeguate garanzie anche riferite all’esercizio effettivo dei diritti e dei rimedi giuridici previsti a favore dell’interessato. Costituiscono garanzie adeguate naturalmente le Binding Corporate Rules e le clausole standard adottate dalla Commissione, dalle Autorità di controllo e approvate dalle Commissione, codici di condotta, meccanismi di certificazione. In merito a queste ultime la bozza di Regolamento precisa che le autorizzazioni ottenute dagli Stati in osservanza dell’articolo 26 della Direttiva rimangono in vigore a meno che non siano modificate laddove necessario dall’autorità di controllo.

L’accordo, quindi, dovrà rimanere inquadrato nelle suddette regole dato che sono in discussione anche il futuro delle clausole contrattuali, l’Umbrella Agreement, il Trattato TTIP, il Trattato TISA. Tale aggregazione dovrà procedere di pari passo ed in perfetta armonia, in modo tale da evitare limiti troppo stringenti che possano ricadere sulla economia globale.

3.     Aggiornamento, sanzioni e ispezioni
Il c.d. “Ombudsperson”, un difensore civico, è stato rimpiazzato nell’attuale testo da un “independent dispute resolution body” in America o in Europa, a cui spetterà l’imposizione di sanzioni e rimedi effettivi.
Le sanzioni, la cui specificazione, ancora non nota, pare rimessa all’ente indipendente dovranno comunque essere sufficientemente “rigorose” in modo da assicurare il rispetto dei principi, anche attraverso la pubblicità di eventuali casi di non compliance da parte di aziende e la sospensione e rimozione di “privacy seal” assegnati alle stesse. Senza dimenticare le possibili conseguenze derivanti dalla comunicazione del mancato rispetto dei principi alle autorità competenti.

4.     Periodo di pendenza
Nell’attesa del nuovo accordo le aziende che trattano i dati in America possono continuare a farlo. Si ricorda infatti, come anche ha ricordato il Gruppo Articolo 29, che le aziende hanno la possibilità di usare i meccanismi alternativi al Safe Harbor per il trasferimento dei dati personali negli Stati Uniti. In particolare, Clausole Contrattuali Standard e Binding Corporate Rules individuate nella Direttiva 95/46/CE e riprese anche da nuovo Regolamento europeo sulla privacy in bozza.
Si sottolinea tuttavia l’esigenza di avere quanto prima maggiori dettagli sull’accordo in fase di scrittura al fine di controllare le specifiche modalità scelte dagli USA per rispettare i principi del “EU-US Privacy Shield”.

5.     Alcune riflessioni
È difficile valutare in questa fase l’“EU-US Privacy Shield”, tuttavia è plausibile ritenere che le garanzie ulteriori rilasciate dagli Stati Uniti nell’ambito dell’accordo potrebbero avere qualche impatto sulla validità dei meccanismi alternativi per il trasferimento dei dati negli Stati Uniti (le Clausole Contrattuali Standard e le Binding Corporate Rules), per le quali tali garanzie non troverebbero applicazione e quindi renderle invalide di fronte agli USA ed al suo potere autoritativo pubblico perché appunto private. Un aspetto di non poca importanza. ©

 


Altri articoli di Valentina Frediani

polizze-cyber CYBER INSURANCE: STRUMENTI DI PROTEZIONE DEL PATRIMONIO INFORMATIVO AZIENDALE
di Valentina Frediani (N. II_MMXVI)
Il 2015 ha registrato una crescita esponenziale di numero e varietà di attacchi informatici subiti dalle imprese, indipendentemente dalle loro dimensioni. Per tali ragioni, ha trovato ultimamente terreno fertile la tematica della Cyber Insurance, ovvero il trasferimento assicurativo del rischio cyber. Ma andiamo con ordine.
gdpr Editoriale: Quali conseguenze della GDPR su produttori/fornitori ICT?
di Valentina Frediani (N. II_MMXVI)
I temi introdotti dall’emanazione della General Data Protection Regulation (GDPR) sono molteplici ed a partire da adesso fino al maggio del 2018 è opportuno analizzarli secondo un criterio prioritario. Scorrendo il testo normativo emerge in modo molto chiaro il principio della cosiddetta accountability quindi l’onere del titolare di dimostrare di aver adottato quanto di sua competenza.
data_privacy_officer_small Editoriale – Il “nuovo” DPO nella versione 2016 del Regolamento Europeo
di Valentina Frediani (N. I_MMXVI)
È attesa prima dell’estate l’emanazione del Regolamento Europeo in materia di protezione dati personali. È interessante osservare “l’evoluzione legislativa” di questa figura, in quanto l’adozione della stessa impatta non poco sui soggetti giuridici europei destinatari del Regolamento. Dando una lettura d’insieme dei compiti attualmente attribuiti al DPO, sembra emergere più una figura di auditor rispetto al compito di proattività evidenziato nella versione originaria.
eu-safe-harbor SAFE HARBOR: COSA È ACCADUTO E COME CAMBIERÀ L’ATTUALE SCENARIO
di Valentina Frediani (N. IV_MMXV)
Corte di giustizia dell’Unione europea - Sentenza della Corte (Grande Sezione) del 6 ottobre 2015 - Causa C-362/14. Un cittadino austriaco, che utilizzava Facebook dal 2008, ha presentato una denuncia presso l’autorità irlandese di controllo ritenendo che, alla luce delle rivelazioni fatte nel 2013 dal sig. Edward Snowden in merito alle attività dei servizi di intelligence negli Stati Uniti, il diritto e le prassi statunitensi non offrano una tutela adeguata contro la sorveglianza svolta dalle autorità pubbliche sui dati trasferiti verso tale paese. L’autorità irlandese ha respinto la denuncia, segnatamente con la motivazione che, in una decisione del 26 luglio 2000, la Commissione ha ritenuto che, nel contesto del cosiddetto regime di «approdo sicuro», gli Stati Uniti garantiscano un livello adeguato di protezione dei dati personali trasferiti. La sentenza della Corte di giustizia europea invalida la decisione del 26 luglio 2000 della Commissione e pertanto chiede all’autorità irlandese di riesaminare la denuncia e di decidere se, in forza della direttiva 95/46/CE, occorre sospendere il trasferimento dei dati degli iscritti europei a Facebook verso gli Stati Uniti
ocse Editoriale – Raccomandazione dell’OCSE sulla Digital Security
di Valentina Frediani (N. IV_MMXV)
L’intervento dell’OCSE ha individuato alcuni principi generali che dovranno aiutare le imprese e le istituzioni coinvolte ad implementare un modello di sicurezza digitale in grado di tutelare in primis i diritti degli interessati, ma anche gli interessi economici rilevanti. Lo sviluppo del mercato digitale rappresenta una parte fondamentale ed essenziale nel funzionamento delle economie globali e del progresso sociale, in grado di generare nuove opportunità di fare impresa.
bcr APPLICAZIONE DELLE BCR: DAL WORKING PARTY ART.29 LE INDICAZIONI
di Valentina Frediani (N. III_MMXV)
Art. 26 Direttiva 95/46/CE. Per le aziende italiane ed europee che intendano allocare fuori dai confine europei I propri dati, occorre adottare una serie di prescrizioni inerenti la gestione dei dati dislocati, attuando un piano di gestione infragruppo o destinato a grandi fornitori che gestiscono i dati in Paesi Terzi. L’WP 29 ha dettato i principi di attuazione destinati ai Controllers ed ai Processors.
job_Act Editoriale – Jobs Act e controlli a distanza: tutto chiaro?
di Valentina Frediani (N. III_MMXV)
Lo scorso 23 settembre sono stati pubblicati in GU i decreti legislativi in attuazione del Jobs Act, dopo l’approvazione del Consiglio dei Ministri del 4 Settembre. Tra i passaggi divenuti oggetto di maggior confronto c’è sicuramente quello relativo alle misure in materia di controllo a distanza dei lavoratori. L’originario articolo 4 è stato integrato. Spicca nel primo comma la possibilità di impiego di impianti audiovisivi e di altri strumenti con finalità di tutela del patrimonio aziendale.
internet-things CONSULTAZIONE SU INTERNET DELLE COSE (Internet of Things)
di Valentina Frediani (N. II_MMXV)
Il Garante per la protezione dei dati personali, con decisione del 26 marzo 2015 pubblicata sul sito web dell’Autorità, ha deliberato l’avvio di una procedura di consultazione pubblica sul tema “Internet delle cose”, con l’obiettivo di acquisire osservazioni e proposte rispetto gli aspetti di protezione dei dati personali illustrati nel provvedimento connessi alle nuove tecnologie classificabili come Internet of Things, con specifico riguardo ai risvolti implementativi dei principi ivi enunciati nonché alle criticità riscontrabili o anche già sperimentate nel settore di riferimento, a cura di tutti i soggetti interessati, anche eventualmente attraverso le associazioni di categoria rappresentative dei settori di appartenenza quali ad esempio quelle imprenditoriali e dei consumatori ove presenti, nonché del mondo universitario e della ricerca scientifica. I contributi, così individuati, dovranno pervenire, entro 180 giorni dalla pubblicazione del presente avviso sulla Gazzetta Ufficiale, all’indirizzo dell’Autorità di Piazza Monte Citorio n. 121, 00186 – Roma, ovvero all’indirizzo di posta elettronica iot@gpdp.it, indicando nell’oggetto il tema di riferimento.
job_Act Editoriale – Jobs Act: rivoluzione nel controllo dei lavoratori
di Valentina Frediani (N. II_MMXV)
Grande rivoluzione sul fronte dell’uso dei dispositivi tecnologici di controllo a distanza? Il tema ruota intorno al controllo del lavoratore come “rivoluzionato” nell’ambito del Jobs Act. L’articolo 23 del decreto attuativo si pone l’obiettivo di modificare l’articolo 4 generato in seno allo Statuto dei Lavoratori nel 1970. Tale testo di legge è ad oggi certamente poco allineato rispetto all’evoluzione tecnologica attuata ed in atto.
mobile-payment LE NUOVE REGOLE DEL GARANTE DELLA PRIVACY PER I PAGAMENTI CON SMARTPHONE E TABLET
di Valentina Frediani (N. I_MMXV)
Il Garante privacy ha adottato il provvedimento (doc. web n. 3161560) che disciplina il trattamento dei dati personali di chi usufruisce dei cosiddetti servizi di mobile remote payment, utilizzando smartphone, tablet, pc, stabilendo un primo quadro organico di regole in grado di assicurare la protezione dei dati senza penalizzare lo sviluppo del mercato digitale.
Translate »