Testata iscritta al tribunale di Roma n. 129/2012 del 3/5/2012. ISSN: 2280-4188

Il Documento Digitale

SAFE HARBOR: COSA È ACCADUTO E COME CAMBIERÀ L’ATTUALE SCENARIO

di Valentina Frediani

Corte di giustizia dell’Unione europea – Sentenza della Corte (Grande Sezione) del 6 ottobre 2015 – Causa C-362/14

Un cittadino austriaco, che utilizzava Facebook dal 2008, ha presentato una denuncia presso l’autorità irlandese di controllo ritenendo che, alla luce delle rivelazioni fatte nel 2013 dal sig. Edward Snowden in merito alle attività dei servizi di intelligence negli Stati Uniti, il diritto e le prassi statunitensi non offrano una tutela adeguata contro la sorveglianza svolta dalle autorità pubbliche sui dati trasferiti verso tale paese.  L’autorità irlandese ha respinto la denuncia, segnatamente con la motivazione che, in una decisione del 26 luglio 2000, la Commissione ha ritenuto che, nel contesto del cosiddetto regime di «approdo sicuro», gli Stati Uniti garantiscano un livello adeguato di protezione dei dati personali trasferiti.
La sentenza della Corte di giustizia europea invalida la decisione del 26 luglio 2000 della Commissione e pertanto chiede all’autorità irlandese di riesaminare la denuncia e di decidere se, in forza della direttiva 95/46/CE, occorre sospendere il trasferimento dei dati degli iscritti europei a Facebook verso gli Stati Uniti (rif. http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117it.pdf).

 

pdf-icon

 

La Corte di Giustizia UE ha stabilito che la Decisione c.d. del “Safe Harbour”, norma di riferimento per ben 15 anni sui trasferimenti di dati personali dall’Unione Europea verso gli USA, non è più valida. Ma per comprendere meglio il cambiamento epocale che ci sta travolgendo indisturbato andiamo con ordine.

 

1.     Come e quando i dati possono essere trasferiti al di fuori dell’UE?
Ai sensi dell’articolo 25, comma 1, della Direttiva 95/46/CE, il trasferimento di dati personali dall’Unione Europea verso Paesi non appartenenti all’UE o allo Spazio Economico Europeo (Norvegia, Islanda, Liechtenstein) è vietato. In deroga a tale divieto, il trasferimento verso Paesi terzi è consentito quando il Paese destinatario del trasferimento garantisce un livello di protezione “adeguato”.
L’adeguatezza viene decisa direttamente dalla Commissione UE attraverso una specifica Decisione ai sensi dell’articolo 25, comma 6, della Direttiva stessa. Sul sito web del Garante per la protezione dei dati italiano sono pubblicate le singole decisioni.

Quando non risulta alcuna Decisione di adeguatezza, il trasferimento dall’Unione Europea verso Paesi Extra-UE è consentito:
nei casi menzionati dall’articolo 26, comma 1, della Direttiva 95/46/CE, ovvero consenso della persona interessata, necessità del trasferimento ai fini di misure contrattuali/precontrattuali, interesse pubblico preminente, etc.;
sulla base di strumenti contrattuali che offrano garanzie adeguate, secondo l’articolo 26, comma 2, della Direttiva 95/46/CE. Tali strumenti sono: le Clausole contrattuali standard (ovvero clausole indicate dalla stessa Commissione EU come clausole idonee a tutelare la riservatezza dei dati personali trasferiti solo se inserite nel contratto con il soggetto destinatario dei dati stabilito in un paese Extra-UE), e le BCR – Binding Corporate Rules (documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) al cui rispetto sono tenute tutte le società appartenenti ad uno stesso gruppo (corporate)).

 

2.     In cosa consiste la decisione di adeguatezza dell’UE sul “Safe Harbour”?
I principi di “Approdo Sicuro”, Allegato I alla Decisione della Commissione Europea 00/520/CE, del 26 luglio 2000, individuati direttamente in un protocollo sviluppato dall’ US State Department, in collaborazione con il Parlamento europeo ed il Consiglio europeo, sono sostanzialmente sette regole e rispecchiano, su grandi linee, la direttiva Privacy.
Tra gli stessi si evidenzia, in primo luogo, il dovere di informativa e l’obbligatorietà del consenso (chiamandolo “Scelta”), al trattamento da parte del diretto interessato. Poi, il principio della facoltà di rifiuto dell’interessato alla comunicazione a terzi ed a nuovi trattamenti diversi dal primo. Ed ancora, il dovere di assicurare la sicurezza dei dati, ovvero le organizzazioni che si accostano al “Safe Harbour” devono garantire sia la protezione dei dati personali da perdita ed abusi, nonché da accesso, rivelazione, alterazione e distruzione non autorizzati, sia la possibilità agli interessati di accedere alle informazioni personali che li riguardano.
In sostanza, in relazione ai principi elencati, una volta che una società statunitense è certificata “Safe Harbor”, si ritiene automaticamente “adeguata” da parte dell’UE per quanto riguarda la conservazione ed il trattamento dei dati personali e sensibili provenienti dall’Europa.

 

3.     Il caso
Il Sig. Maximillian Schrems, cittadino austriaco ed utente di Facebook dal 2008, si rivolge al Garante per la protezione dei dati personali irlandese, il “Data Protection Commissioner”, per vedere tutelati i propri diritti relativamente al trasferimento dei suoi dati effettuato da Facebook verso gli USA. In particolare, il Sig. Maximillian Schrems, riprendendo quanto sostenuto da Edward Snowden nel 2013 circa le attività dei servizi di intelligence USA, in ordine soprattutto al NSA – National Security Agency – ed al programma di controllo Prism, sostiene nel ricorso che gli USA non offrono l’adeguato livello di protezione dei dati personali richiesto dalla Direttiva 95/46/CE. In specifico nel ricorso veniva ribadito che l’adeguatezza non è rinvenibile in riferimento alle attività di sorveglianza delle autorità pubbliche sui dati trasferiti.

Il Data Protection Commissioner respinge il ricorso basandosi sulla Decisione di adeguatezza della Commissione EU del 2000 relativa appunto ai principi “Safe Harbour” ribadendo sostanzialmente l’idoneità degli USA e della legislazione ivi presente ad essere considerati “adeguati” rispetto alle richieste della Direttiva 95/46/CE.
Il Sig. Maximillian Schrems vedendosi rigettato il ricorso propone appello nei confronti dell’Alta Corte irlandese la quale, sollevando una questione interpretativa, decide di coinvolgere la Corte di Giustizia UE – C-362/14 Maximillian Schrems vs. Data Protection Commissioner – chiamata quindi ad accertare l’adeguatezza della Decisione sul “Safe Harbour”, nonché l’esistenza del potere in capo ad una Autorità privacy nazionale di sospendere il trasferimento dei dati verso gli USA.

 

4.     La decisione della Corte di giustizia UE  
Con la sentenza del 6 ottobre 2015 la Corte di Giustizia UE ha stabilito che l’esistenza della Decisione della Commissione UE sul trasferimento dei dati verso paesi Extra-UE non limita il potere decisionale dell’Autorità garante della privacy interna al paese membro della Unione Europea di limitare il trasferimento verso un paese che, per suo dire, non assicura un adeguato livello di protezione dei dati personali trasferiti. E ciò sulla base della Carta Fondamentale dei Diritti dell’Unione Europea come anche della stessa Direttiva 95/46/CE. In particolare, la Corte di Giustizia riconosce alle Autorità nazionali il potere di sovrintendere o valutare i trasferimenti di dati personali verso Paesi terzi extra UE anche se sono stati oggetto di una Decisione della Commissione UE.
Detto ciò, nella sentenza la Corte si sofferma poi sull’adeguatezza della Decisione sul “Safe Harbour” e sulla sua validità.
I Giudici concludono sulla invalidità della Decisione in quanto la stessa risulta inadeguata e poco corrispondente alle indicazioni rilevabili nella Direttiva 95/46/CE perché al tempo la Commissione non effettuò una verifica appropriata della corrispondenza delle regole agli adempimenti previsti dalla Direttiva suddetta, in quanto si limitò solo ad analizzare superficialmente quelli che risultano solo un insieme di principi relativi alla protezione dei dati ai quali le organizzazioni con sede negli Stati Uniti possono aderire su base volontaristica e non delle regole precise e definite.

 

5.     2013: le 13 raccomandazioni correttive della Commissione UE
Nel 2013 la Commissione UE si era già soffermata sull’adeguatezza dei principi del “Safe Harbour” indicati nella Decisione di adeguatezza considerandola, già al tempo, come una Decisione poco corrispondente alle aspettative della Direttiva 95/46/CE. In conclusione dell’analisi, la stessa Commissione si era già espressa sul punto individuando ben 13 raccomandazioni correttive della Decisione, ovvero:

  • le organizzazioni che accolgono i principi del “Safe Harbour” devono rendere trasparenti le loro politiche sulla privacy, come le politiche sulla privacy dei loro sub-fornitori. Le politiche sulla privacy devono essere indicate nel sito web dell’organizzazione e nel sito web del Dipartimento del Commercio devono essere segnalate le organizzazioni che non hanno sottoscritto l’accordo (raccomandazioni nn. da 1 a 4);
  • devono essere sempre rese disponibili dalle organizzazioni risoluzioni alternative delle controversie (ADR) (raccomandazioni nn. da 5 a 7);
  • devono essere effettuati dei controlli periodici e concreti sul rispetto effettivo delle politiche sulla privacy e, nel caso di non conformità o dubbi, deve essere informata l’autorità di protezione dei dati competente dell’UE (raccomandazioni nn. da 8 a 12);
  • le organizzazioni devono indicare nelle loro politiche sulla privacy in quali casi la legge statunitense consente alle autorità pubbliche di raccogliere ed elaborare i dati trasferiti con l’accordo di “Safe Harbour” (raccomandazione n. 14);
  • le autorità pubbliche devono ricorrere all’eccezione per la salvaguardia della sicurezza nazionale solo in misura strettamente necessaria e proporzionata (raccomandazione n. 13).

La Commissione aveva individuato anche un termine (estate del 2014) di adeguamento. Alla fine del termine la Commissione si era impegnata a riesaminare l’attualizzazione delle raccomandazioni, ma tutto ciò non è accaduto.

Si può dunque concludere che i rapporti di fiducia tra l’Europa e gli USA stanno attraversando una fase travagliata. È fondamentale che l’Unione Europea e il Governo degli Stati Uniti continuino ad assicurare metodi affidabili per trasferire i dati e risolvano ogni problematica riferita alla sicurezza nazionale.
Intanto, Facebook, ha deciso di acquisire il consenso dei propri utenti per il trasferimento dei dati in USA. Una strada ardua da intraprendere, ma necessaria in ragione del recentissimo intervento dell’Autorità Garante che, ufficialmente (a breve la pubblicazione in Gazzetta ufficiale) fa decadere gli accordi alla base dei principi dell’“approdo sicuro”.©

 


Altri articoli di Valentina Frediani

polizze-cyber CYBER INSURANCE: STRUMENTI DI PROTEZIONE DEL PATRIMONIO INFORMATIVO AZIENDALE
di Valentina Frediani (N. II_MMXVI)
Il 2015 ha registrato una crescita esponenziale di numero e varietà di attacchi informatici subiti dalle imprese, indipendentemente dalle loro dimensioni. Per tali ragioni, ha trovato ultimamente terreno fertile la tematica della Cyber Insurance, ovvero il trasferimento assicurativo del rischio cyber. Ma andiamo con ordine.
gdpr Editoriale: Quali conseguenze della GDPR su produttori/fornitori ICT?
di Valentina Frediani (N. II_MMXVI)
I temi introdotti dall’emanazione della General Data Protection Regulation (GDPR) sono molteplici ed a partire da adesso fino al maggio del 2018 è opportuno analizzarli secondo un criterio prioritario. Scorrendo il testo normativo emerge in modo molto chiaro il principio della cosiddetta accountability quindi l’onere del titolare di dimostrare di aver adottato quanto di sua competenza.
trasferimento_dati_usa NUOVA INTESA CON GLI USA SUL TRASFERIMENTO DEI DATI
di Valentina Frediani (N. I_MMXVI)
Il 2 febbraio scorso è stato finalmente raggiunto l’accordo politico tra la Commissione UE e il Governo degli USA sulla privacy ed il trasferimento dei dati verso quest’ultimo paese. Il 31 gennaio 2016 era infatti il termine ultimo che le autorità privacy UE ed il Gruppo di lavoro ex articolo 29 avevano dato alla Commissione europea per arrivare ad un “Safe Harbor 2.0” che tuteli davvero la privacy dei cittadini europei rispetto alle imprese che trasferiscono i dati verso l’USA e che, fino a quel momento, rispettavano solo principi del vecchio Safe Harbor.
data_privacy_officer_small Editoriale – Il “nuovo” DPO nella versione 2016 del Regolamento Europeo
di Valentina Frediani (N. I_MMXVI)
È attesa prima dell’estate l’emanazione del Regolamento Europeo in materia di protezione dati personali. È interessante osservare “l’evoluzione legislativa” di questa figura, in quanto l’adozione della stessa impatta non poco sui soggetti giuridici europei destinatari del Regolamento. Dando una lettura d’insieme dei compiti attualmente attribuiti al DPO, sembra emergere più una figura di auditor rispetto al compito di proattività evidenziato nella versione originaria.
ocse Editoriale – Raccomandazione dell’OCSE sulla Digital Security
di Valentina Frediani (N. IV_MMXV)
L’intervento dell’OCSE ha individuato alcuni principi generali che dovranno aiutare le imprese e le istituzioni coinvolte ad implementare un modello di sicurezza digitale in grado di tutelare in primis i diritti degli interessati, ma anche gli interessi economici rilevanti. Lo sviluppo del mercato digitale rappresenta una parte fondamentale ed essenziale nel funzionamento delle economie globali e del progresso sociale, in grado di generare nuove opportunità di fare impresa.
bcr APPLICAZIONE DELLE BCR: DAL WORKING PARTY ART.29 LE INDICAZIONI
di Valentina Frediani (N. III_MMXV)
Art. 26 Direttiva 95/46/CE. Per le aziende italiane ed europee che intendano allocare fuori dai confine europei I propri dati, occorre adottare una serie di prescrizioni inerenti la gestione dei dati dislocati, attuando un piano di gestione infragruppo o destinato a grandi fornitori che gestiscono i dati in Paesi Terzi. L’WP 29 ha dettato i principi di attuazione destinati ai Controllers ed ai Processors.
job_Act Editoriale – Jobs Act e controlli a distanza: tutto chiaro?
di Valentina Frediani (N. III_MMXV)
Lo scorso 23 settembre sono stati pubblicati in GU i decreti legislativi in attuazione del Jobs Act, dopo l’approvazione del Consiglio dei Ministri del 4 Settembre. Tra i passaggi divenuti oggetto di maggior confronto c’è sicuramente quello relativo alle misure in materia di controllo a distanza dei lavoratori. L’originario articolo 4 è stato integrato. Spicca nel primo comma la possibilità di impiego di impianti audiovisivi e di altri strumenti con finalità di tutela del patrimonio aziendale.
internet-things CONSULTAZIONE SU INTERNET DELLE COSE (Internet of Things)
di Valentina Frediani (N. II_MMXV)
Il Garante per la protezione dei dati personali, con decisione del 26 marzo 2015 pubblicata sul sito web dell’Autorità, ha deliberato l’avvio di una procedura di consultazione pubblica sul tema “Internet delle cose”, con l’obiettivo di acquisire osservazioni e proposte rispetto gli aspetti di protezione dei dati personali illustrati nel provvedimento connessi alle nuove tecnologie classificabili come Internet of Things, con specifico riguardo ai risvolti implementativi dei principi ivi enunciati nonché alle criticità riscontrabili o anche già sperimentate nel settore di riferimento, a cura di tutti i soggetti interessati, anche eventualmente attraverso le associazioni di categoria rappresentative dei settori di appartenenza quali ad esempio quelle imprenditoriali e dei consumatori ove presenti, nonché del mondo universitario e della ricerca scientifica. I contributi, così individuati, dovranno pervenire, entro 180 giorni dalla pubblicazione del presente avviso sulla Gazzetta Ufficiale, all’indirizzo dell’Autorità di Piazza Monte Citorio n. 121, 00186 – Roma, ovvero all’indirizzo di posta elettronica iot@gpdp.it, indicando nell’oggetto il tema di riferimento.
job_Act Editoriale – Jobs Act: rivoluzione nel controllo dei lavoratori
di Valentina Frediani (N. II_MMXV)
Grande rivoluzione sul fronte dell’uso dei dispositivi tecnologici di controllo a distanza? Il tema ruota intorno al controllo del lavoratore come “rivoluzionato” nell’ambito del Jobs Act. L’articolo 23 del decreto attuativo si pone l’obiettivo di modificare l’articolo 4 generato in seno allo Statuto dei Lavoratori nel 1970. Tale testo di legge è ad oggi certamente poco allineato rispetto all’evoluzione tecnologica attuata ed in atto.
mobile-payment LE NUOVE REGOLE DEL GARANTE DELLA PRIVACY PER I PAGAMENTI CON SMARTPHONE E TABLET
di Valentina Frediani (N. I_MMXV)
Il Garante privacy ha adottato il provvedimento (doc. web n. 3161560) che disciplina il trattamento dei dati personali di chi usufruisce dei cosiddetti servizi di mobile remote payment, utilizzando smartphone, tablet, pc, stabilendo un primo quadro organico di regole in grado di assicurare la protezione dei dati senza penalizzare lo sviluppo del mercato digitale.

 

Translate »