Un-Safe Harbor

INVALIDATO L’ACCORDO DI SAFE HARBOUR: LE CONSEGUENZE SUI TRASFERIMENTI DI DATI PERSONALI NEGLI STATI UNITI
La Corte di Giustizia Europea ha dichiarato (Corte di Giustizia, 6 ottobre 2015) invalida la decisione della Commissione che nel 2000 aveva sancito l’adeguatezza dei principi di “safe harbour” (ad essa allegati), applicati in conformità agli orientamenti forniti dalle FAQ pubblicate dal Dipartimento del commercio degli Stati Uniti, a garantire idonea protezione ai dati provenienti da uno Stato membro e trattati negli Stati Uniti (Decisione 2000/520/EC), e contestualmente ha espresso la regola per cui l’esistenza di una decisione di adeguatezza adottata dalla Commissione UE ai sensi dell’art. 25 (6) Dir. 95/46 a favore di un Paese terzo non priva l’Autorità Garante nazionale del potere di conoscere dei reclami degli interessati concernenti la violazione dei propri diritti in relazione al trattamento di dati trasferiti presso il medesimo Paese terzo.
L’accordo di “Safe Harbour”, fondato peraltro su un sistema di autocertificazione applicabile mediante adesione volontaria da parte delle imprese statunitensi interessate, ha costituito sino ad oggi la base per trasferire in modo fluido dati personali dall’Europa verso gli U.S.A.
Ora che l’accordo è stato dichiarato invalido, è venuta meno tale base e pertanto i trasferimenti di dati verso gli U.S.A. non possono più essere effettuati senza ricorrere ad altri strumenti, senz’altro più complessi sotto il profilo organizzativo ed amministrativo, comunque più onerosi e dunque – nell’immediato – inefficienti: si ricorda infatti che la legge, vietando il trasferimento di dati personali presso Paesi extra-UE che non offrano un livello di protezione analogo a quello europeo, nella pratica pone un divieto generale, salva la ricorrenza di particolari condizioni (art. 43-45 Codice Privacy).
In particolare, poiché anche il sistema che regola il trasferimento all’estero dei dati personali – come tutto l’impianto normativo (europeo ed italiano) sul trattamento dei dati – si impernia sulla scelta libera e consapevole dell’interessato, in mancanza della ricorrenza di una delle altre particolari circostanze previste dalla legge il trasferimento è consentito unicamente con il consenso (informato) dell’interessato (artt. 43, comma 1, lett. a) e 45 Codice Privacy).
Senza neppure volere considerare l’evidente inefficienza della sottoposizione di una scelta strategica ed organizzativa dell’impresa (un caso tipico in cui le imprese si sono finora avvalse dell’accordo di Safe Harbour è l’accesso a grandi ed attrezzati data center statunitensi per servizi di gestione dei dati personali di clienti attuali e potenziali) all’alea della collazione delle singole volontà di molteplici terzi, pare comunque ovvia l’estrema difficoltà pratica di acquisire a tappeto e in tempi brevi il consenso (in opt-in) di tutti gli interessati.
L’altra alternativa attualmente percorribile resta quella di interpellare preventivamente l’Autorità Garante nazionale competente al fine di ottenere nei singoli casi la valutazione di adeguatezza della protezione offerta dal Paese terzo di destinazione: tenendo presente l’attuale situazione di dichiarata inadeguatezza degli Stati Uniti, si ritiene che i trasferimenti potranno avvenire essenzialmente mediante l’approvazione di specifiche clausole contrattuali di garanzia con cui vincolare poi i singoli fornitori di servizi statunitensi (art. 44 comma 1, lett. a ) Cod. Privacy).
È importante anche notare che la decisione assunta dalla Corte vincola il Giudice che venga investito di questioni analoghe (ad esempio, in sede di impugnazione di provvedimenti del Garante nazionale).
Pare opportuno sottolineare che invece gli effetti della sentenza non si riverberano sui trasferimenti attuati infragruppo mediante BCR (Binding corporate rules) approvate dal Garante (art. 44 comma 1, lett. a) Cod. Privacy), che costituiscono di per sé strumenti di natura contrattuale sufficienti a garantire la legittimità del trasferimento dei dati e del loro successivo trattamento, e la cui esistenza non preclude comunque all’interessato la possibilità di fare valere i propri diritti.
Al momento, dunque, quello del livello di protezione dei dati personali negli Stati Uniti è un tema aperto e rimesso alle valutazioni delle singole Autorità Garanti nazionali: esse peraltro hanno già cominciato reciproche consultazioni, che avverranno soprattutto in seno all’organismo plenario, l’Article 29 Data Protection Working Party, al fine di stabilire linee guida comuni.
Naturalmente molto dipenderà dagli Stati Uniti, che potrebbero riformare la regolamentazione vigente in materia, che ha condotto alla situazione attuale: sul punto, vale la pena di ricordare che essa subordina l’applicazione dei principi di Safe Harbour al rispetto di esigenze di sicurezza nazionale, di obblighi di legge e del pubblico interesse, con la conseguente legittimazione dei soggetti aderenti a disapplicarli in caso di conflitto, senza eccezione alcuna e senza alcuno strumento amministrativo o giurisdizionale di protezione per gli interessati. Inoltre, Safe Harbour non si estende alle Autorità pubbliche, che anzi hanno potuto accedere ai dati personali trasferiti dagli Stati membri trattandoli in modo incompatibile con le finalità del loro trasferimento, anche effettuando un trattamento in eccesso rispetto a ciò che era strettamente necessario e proporzionato alla tutela della sicurezza nazionale.
Ad ogni modo, la problematica del conflitto tra esigenze di sicurezza nazionale e tutela dei diritti fondamentali della persona – e segnatamente del diritto alla riservatezza – ha assunto oggi una portata che va ben oltre i confini di specifici Paesi extra europei, prefigurando anzi uno scenario potenzialmente generalizzato: basti richiamare le polemiche – ancora non sopite né risolte – suscitate in Francia dalla recentissima approvazione di una “legge sulla sorveglianza di massa” che introduce criteri, strumenti e modalità di controllo ancora da definire nei dettagli ma già molto contestati per la loro apparente pervasività.
Certamente, l’individuazione di un punto di equilibrio tra le suddette esigenze preserverebbe la possibilità di garantire una circolazione dei dati personali fluida e nel contempo legittima, con le ovvie conseguenze positive sul piano degli scambi economici: la strada indicata, sulla base della normativa europea, dalla sentenza in commento passa attraverso l’affermazione vigorosa ed inflessibile della prevalenza del fondamentale diritto alla riservatezza di ciascuno, corroborata dalla previsione di strumenti giurisdizionali e amministrativi che ne consentano l’effettiva tutela ed accompagnata dall’ammissibilità di limitazioni “strettamente necessarie”, ossia autorizzate dalla legge in modo specifico e determinato in funzione dell’obiettivo perseguito; nella fattispecie, ciò implica l’individuazione di criteri oggettivi per la definizione dei limiti di accesso ai dati, e del conseguente uso, da parte della Pubblica Amministrazione, sulla base di un attento bilanciamento di interessi il quale – data la premessa della prevalenza della protezione del diritto alla riservatezza – non potrà che essere effettuato in un’ottica restrittiva.
Per meglio apprezzare la portata della sentenza, si riportano di seguito le norme del Codice Privacy che regolano il trasferimento dei dati fuori dal territorio dell’Unione Europea e, infine, una schematica descrizione delle argomentazioni principali sviluppate dalla Corte di Giustizia nell’assunzione della decisione.
NORME CHE REGOLANO I TRASFERIMENTI DI DATI EXTRA – UE
Art. 43. Trasferimenti consentiti in Paesi terzi

1. Il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, se diretto verso un Paese non appartenente all’Unione europea è consentito quando:

a) l’interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta;

b) è necessario per l’esecuzione di obblighi derivanti da un contratto del quale è parte l’interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato, ovvero per la conclusione o per l’esecuzione di un contratto stipulato a favore dell’interessato;

c) è necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o con regolamento o, se il trasferimento riguarda dati sensibili o giudiziari, specificato o individuato ai sensi degli articoli 20 e 21;

d) è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo. Se la medesima finalità riguarda l’interessato e quest’ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato. Si applica la disposizione di cui all’articolo 82, comma 2;

e) è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trasferiti esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale;

f) è effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi, ovvero di una richiesta di informazioni estraibili da un pubblico registro, elenco, atto o documento conoscibile da chiunque, con l’osservanza delle norme che regolano la materia;

g) è necessario, in conformità ai rispettivi codici di deontologia di cui all’allegato A), per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell’articolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici, presso altri archivi privati.

Art. 44. Altri trasferimenti consentiti
1. Il trasferimento di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all’Unione europea, è altresì consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell’interessato:
a) individuate dal Garante anche in relazione a garanzie prestate con un contratto o mediante regole di condotta esistenti nell’ambito di società appartenenti a un medesimo gruppo. L’interessato può far valere i propri diritti nel territorio dello Stato, in base al presente codice, anche in ordine all’inosservanza delle garanzie medesime;
b) individuate con le decisioni previste dagli articoli 25, paragrafo 6, e 26, paragrafo 4, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, con le quali la Commissione europea constata che un Paese non appartenente all’Unione europea garantisce un livello di protezione adeguato o che alcune clausole contrattuali offrono garanzie sufficienti.
Art. 45. Trasferimenti vietati

1. Fuori dei casi di cui agli articoli 43 e 44, il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all’Unione europea, è vietato quando l’ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato. Sono valutate anche le modalità del trasferimento e dei trattamenti previsti, le relative finalità, la natura dei dati e le misure di sicurezza.

LA SENTENZA: IL CONTESTO E LE MOTIVAZIONI
La sentenza è frutto dell’iter originato da un interessato iscritto a Facebook – società che notoriamente trasferisce e tratta i dati dei propri utenti su server situati sul territorio degli Stati Uniti – che, alla luce delle note rivelazioni fatte da Edward Snowden in merito alle attività dei servizi di intelligence della NSA, ha ritenuto non adeguatamente tutelata la sicurezza dei propri dati personali ed ha pertanto presentato ricorso lamentando l’inadeguatezza della tutela offerta dal diritto e dalle prassi statunitensi contro la sorveglianza svolta dalle autorità pubbliche sui dati personali ivi trasferiti.

La Corte ha argomentato sulla base dei seguenti principi:

  • i trasferimenti di dati personali dagli Stati membri a Paesi extra-UE, benché necessari ai fini dell’espansione dei rapporti commerciali internazionali, possono comunque avvenire unicamente ove il Paese di destinazione assicuri un livello di sicurezza “adeguato” (con ciò intendendo una sostanziale equivalenza a quello assicurato dalla legislazione europea in materia) con riferimento alla protezione della vita privata e delle libertà fondamentali: in caso contrario, devono essere vietati;
  • le Autorità indipendenti nazionali sono preposte alla sorveglianza ed attuazione delle norme europee sulla protezione dei dati personali e – dotate di appositi poteri di intervento – sono responsabili della rispondenza alle norme di tutti i trattamenti di dati personali effettuati sul relativo territorio, tra i quali deve intendersi compreso anche il trasferimento verso Paesi extra – UE;
  • la normativa non introduce alcuna eccezione alla sfera di competenza di tali Autorità, neppure con riguardo a decisioni adottate dalla Commissione UE ai sensi dell’art. 25 (6) Dir. 95/46: pertanto la relativa responsabilità (con i connessi poteri di intervento) non viene meno neppure con riferimento a trattamenti costituiti da trasferimenti di dati verso Paesi extra – UE che siano stati oggetto di una tale decisione, e dunque l’Autorità è competente a ricevere ed esaminare il ricorso di un interessato che chieda tutela assumendo che il diritto e le prassi applicati nel Paese terzo ove i propri dati sono stati trasferiti non assicurano un livello di protezione adeguato ai sensi della Direttiva 95/46;
  • la Commissione, al fine di assumere una decisione ai sensi dell’art. 25 (6) Dir. 95/46, è tenuta a verificare l’effettiva capacità del Paese terzo di garantire, in considerazione della propria legislazione nazionale, della prassi e degli impegni internazionali, un livello di protezione dei diritti fondamentali sostanzialmente equivalente a quello garantito nell’Unione Europea, nonché a verificare periodicamente la permanenza delle condizioni di adeguatezza;
  • secondo il diritto vigente nell’Unione Europea, eventuali deroghe al diritto fondamentale alla protezione della vita privata sono ammesse solo quando “strettamente necessario”: non offre dunque un “adeguato” livello di tutela la legislazione che autorizzi in modo indiscriminato e generalizzato l’accesso, la conservazione e il successivo trattamento dei dati, senza alcuna differenziazione, limitazione o eccezione in funzione dell’obiettivo perseguito, senza che siano fissati criteri oggettivi intesi a circoscrivere l’accesso delle autorità pubbliche ai dati e la loro successiva utilizzazione e senza la previsione di strumenti che consentano all’interessato l’accesso ai dati che li riguardano e l’eventuale rettifica o cancellazione; anzi, una simile normativa lede l’essenza stessa del diritto fondamentale alla protezione della vita privata e del diritto alla difesa, caratteristica distintiva di uno Stato di diritto.


Se questo articolo è stato di vostro interesse, ci farebbe piacere ricevere vostri like, reblog e condivisioni. Grazie. Seguiteci anche su:

@lamiaprivacy su twitter

lamiaprivacy su facebook

lamiaprivacy su Google+

lamiaprivacy su Tumblr

lamiaprivacy su Pinterest

Annunci

2 pensieri su “Un-Safe Harbor

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...