Oltre il Safe Habor: lo scenario e le soluzioni operative

La ormai ben nota decisione della Corte di Giustizia del 6 ottobre 2015 ha cancellato l’automatismo su cui fino ad oggi si era basato il trasferimento di dati personali da uno Stato membro dell’Unione Europea agli Stati Uniti.
In un precedente post si è dato schematicamente conto della rilevanza dei relativi effetti e si sono ricordati gli strumenti residui che, offerti dall’impianto normativo comunitario e nazionale, restano comunque applicabili, evidenziando comunque come l’alternativa attualmente percorribile in via generale resti quella di interpellare preventivamente l’Autorità Garante nazionale competente al fine di ottenere, nei singoli casi, la valutazione di adeguatezza della protezione della vita privata e delle libertà fondamentali offerta dal Paese terzo di destinazione.
Esaminiamo tali ulteriori strumenti a disposizione dei soggetti che intendono effettuare trasferimenti di dati personali verso gli Stati Uniti, anche alla luce dei primi esiti delle consultazioni avviate tra le Autorità nazionali di protezione dati in seno all’Article 29 Data Protection Working Party (“Art. 29 WP).
LA DICHIARAZIONE DELL’ART. 29 WP (Article 29 Data Protection Working Party)
Nel precedente articolo, tra l’altro, davamo atto dell’avvio di consultazioni tra le Autorità nazionali in seno all’organismo plenario, l’Article 29 Data Protection Working Party (“Art. 29 WP), finalizzate alla individuazione di linee guida comuni in rapporto all’applicazione della decisione. A questo proposito, si segnala che l’Art. 29 WP, riunitosi il 16 ottobre scorso, ha analizzato dettagliatamente le motivazioni ed argomentazioni espresse dalla Corte di Giustizia evidenziando che:

  • l’analisi condotta dalla Corte di Giustizia ruota sul tema centrale della sorveglianza massiva ed indiscriminata condotta da autorità pubbliche;
  • una simile attività appare incompatibile con la normativa europea;
  • gli attuali strumenti di trasferimento dei dati personali extra – UE non appaiono fornire soluzioni adeguate alla problematica specifica;
  • i Paesi ove sia consentita una simile attività non possono essere considerati sicuri, con la conseguenza che una decisione di adeguatezza implica la necessità di valutare di volta in volta tanto la legislazione nazionale, quanto gli impegni internazionali applicabili.
SULLA BASE DI QUESTE CONSIDERAZIONI, L’ART. 29 WP HA DICHIARATO:
a) la necessità che Stati membri ed istituzioni europee negozino urgentemente con le Autorità degli U.S.A. un accordo che, sulla scorta della individuazione di soluzioni politiche, legali e tecniche, contenga strumenti chiari e vincolanti idonei ad offrire forti garanzie agli “interessati” europei, come minimo in merito al controllo degli accessi da parte della pubblica amministrazione, alla trasparenza, alla proporzionalità, ai meccanismi di ricorso e ai diritti di tutela dei dati personali;

b) che gli attuali meccanismi costituiti dalle BCR (“Binding Corporate Rules”) e dall’uso delle clausole contrattuali standard (per l’Italia, ai sensi rispettivamente della lett. a) e della lett. b) dell’art. 44 Codice Privacy) restano utilizzabili, senza che per questo venga meno la competenza dell’Autorità indipendente nazionale ad esaminare l’adeguatezza del livello di tutela a fronte della contestazione di un interessato o comunque nell’esercizio delle sue prerogative;

c) che, qualora entro la fine di gennaio 2016 non sia stata individuata una soluzione condivisa con le competenti Autorità degli U.S.A., le Autorità indipendenti nazionali dovranno assumere ogni azione necessaria ed appropriata, anche in coordinamento tra loro.

IN CONCLUSIONE
l’Art. 29 WP ha infine affermato che:

IN OGNI CASO, I TRASFERIMENTI DI DATI PERSONALI ATTUALMENTE IN CORSO SULLA BASE DELL’ACCORDO DI SAFE HARBOR SONO ILLEGITTIMI
ed ha invitato gli operatori ad effettuare una adeguata riflessione sui rischi che si assumono con un trasferimento di dati siffatto e di conseguenza a
IMPLEMENTARE TEMPESTIVAMENTE SOLUZIONI OPERATIVE TECNICHE E LEGALI FINALIZZATE A MITIGARE TALI RISCHI E RISPETTARE IL DIRITTO VIGENTE NELL’UNIONE EUROPEA IN MATERIA DI PROTEZIONE DEI DATI PERSONALI.

Allo scopo di garantire la diffusione di un’adeguata conoscenza della problematica presso le imprese, le singole Autorità indipendenti dovranno sviluppare campagne informative nazionali, anche rivolgendosi direttamente alle imprese che notoriamente utilizzano l’accordo di Safe Harbor.

QUALI SOLUZIONI OPERATIVE?
Nell’attesa dell’individuazione – congiunta tra istituzioni europee e statunitensi o unilaterale da parte dei Garanti europei – di strumenti che garantiscano protezione adeguata rispetto al rischio di sorveglianza massiva e indiscriminata, è dunque necessario che gli operatori europei che vogliono (o devono) effettuare trasferimenti di dati personali verso gli U.S.A. si attrezzino sviluppando azioni volte – come chiesto dall’Art. 29 WP – a “mitigare il rischio e rispettare la normativa europea”.

Ma quali possono essere in concreto queste azioni? Non credo che l’Art. 29 WP, rivolgendo tale invito agli operatori, possa intendere riferirsi allo sviluppo di strumenti nuovi o diversi da quelli che la legge già offre: si tratta evidentemente di una sollecitazione di chi fino a ieri si è affidato a Safe Harbor ad adottare invece prontamente le soluzioni alternative già a disposizione, di cui giustappunto l’Art. 29 WP si preoccupa di ribadire la perdurante legittimità.

Pertanto, per il caso di trasferimenti infragruppo lo strumento più idoneo resta lo sviluppo di BCR (Binding corporate rules) che, ove approvate dal Garante (art. 44 comma 1, lett. a) Codice Privacy), costituiscono ancora oggi una condizione di legittimità del trasferimento transfrontaliero, come confermato dall’Art. 29 WP.

Negli altri casi, il riferimento è ovviamente la conclusione, da parte del titolare del trattamento stabilito nell’UE (o del suo responsabile, con alcune cautele) con il destinatario statunitense, di accordi basati sulle “clausole contrattuali tipo” di matrice europea.

Resta in ogni caso salva la possibilità di rivolgersi al Garante per ottenere una specifica autorizzazione ai sensi dell’art. 44, comma 1, lett. a) Codice Privacy.



Se questo articolo è stato di vostro interesse, ci farebbe piacere ricevere vostri like, reblog e condivisioni. Grazie. Seguiteci anche su:

@lamiaprivacy su twitter

lamiaprivacy su facebook

lamiaprivacy su Google+

lamiaprivacy su Tumblr

lamiaprivacy su Pinterest

Annunci

Un pensiero su “Oltre il Safe Habor: lo scenario e le soluzioni operative

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...