SEND15 | Protezione dei dati: che cosa significa e quale impatto ha la recente invalidazione dell’accordo Safe Harbour

#SEND15

PROTEZIONE DEI DATI: CHE COSA SIGNIFICA E QUALE

IMPATTO HA LA RECENTE INVALIDAZIONE

DELL'ACCORDO «SAFE-HARBOR»

Chiara Agostini, Avvocato

#SEND15un evento organizzato da

This document is the intellectual property of ContactLab and was created for demonstration purposes only. It may not be modif ied, organized or reutilized in any way without the express written permission of the rightful owner.

1. Il trasferimento dei dati verso Paesi terzi

1.1 La normativa: Direttiva 95/46/CE

2

Il trasferimento di dati personali dall’Unione Europea verso Paesi terzi è ammesso solo se il paese

in cui i dati sono trasferiti garantisce un «livello di protezione adeguato» (art. 25, comma 1).

L’adeguatezza della protezione è valutata prendendo in considerazione la natura dei dati trasferiti,

le finalità del trattamento, il paese di destinazione dei dati, le norme di diritto vigenti nel paese di

approdo, le misure di sicurezza osservate (art. 25, comma 2).

L’organo deputato a valutare se un Paese terzo garantisce o meno un livello di protezione dei dati

adeguato è la Commissione dell’Unione Europea (art. 25, comma 6) un Paese che non

garantisce un adeguato livello di protezione è inserito nella cd. «Black List» (all’interno della quale

troviamo gli USA).



3


1.2 La normativa: il Codice Privacy

Trasferimenti ALL’INTERNO DELL’UE

Ammessi

«Le disposizioni del presente codice non

possono essere applicate in modo tale da

restringere o vietare la libera circolazione

dei dati personali fra gli Stati Membri

dell'Unione Europea» (art. 42 del Codice

della Privacy)

Trasferimenti AL DIFUORI DELL’UE

Ammessi solo a determinate

condizioni (artt. 43 e 44 del Codice della

Privacy)

Vietati quando l’ordinamento del paese

di destinazione non assicura un

«livello di tutela delle persone

adeguato» (art. 45 del Codice della

Privacy)




1.2 La normativa: il Codice Privacy (Segue I)

4

ART. 43

Il trasferimento dei dati verso un Paese non appartenente all’Unione Europea può avvenire soltanto:

previa acquisizione del consenso dell’interessato;

se necessario per:

l’esecuzione o la conclusione di un contratto o per l’adempimento di richieste precontrattuali;

la salvaguardia di un interesse pubblico rilevante;

la salvaguardia della vita o dell’incolumità fisica di un terzo o dell’interessato;

lo svolgimento di investigazioni difensive;

se effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi.




1.2 La normativa: il Codice Privacy (Segue II)

5

ART. 44

Il trasferimento di dati personali verso un Paese non appartenente all'Unione Europea è altresì

consentito quando è autorizzato dal Garante Privacy sulla base di adeguate garanzie per i diritti

dell'interessato:

individuate dal Garante Privacy;

individuate con decisione della Commissione Europea, con la quale tale autorità constata che un

Paese non appartenente all'Unione Europea garantisce un livello di protezione adeguato o che

alcune clausole contrattuali offrono garanzie adeguate al rispetto ai diritti dell’interessato.




1.3 Gli strumenti

6

Le clausole contrattuali tipo (cd. «Model Clauses»)

Binding Corporate Rules (BCR)

L’accordo «Safe-Harbour»

Solo per trasferimenti infragruppo, verso qualunque

paese extraeuropeo si trovino le società facenti parte

del gruppo.

Per trasferimenti in qualsiasi paese

extraeuropeo

Solo per trasferimenti verso gli Stati Uniti



2. L’accordo di Safe-Harbor

2.1 Inquadramento

7

L’«accordo di Safe-Harbor», o «approdo sicuro», costituisce un insieme di principi elaborati dal

Dipartimento del Commercio degli Stati Uniti (US Department of Commerce) posti a garanzia del

trattamento dei dati personali trasferiti negli Stati Uniti;

Sono più di 4500 le società ed organizzazioni americane che trasferiscono dati utilizzando il Safe-

Harbor (tra cui Facebook, Apple, Google, Amazon, Microsoft);

Per poter usufruire dei principi dell’accordo è necessario aderivi: tale adesione è del tutto facoltativa.




2.2 La decisione della Commissione

8

Con la decisione n. 2000/520/CE la Commissione dell’Unione Europea ha previsto che i principi

dell’«accordo di Safe-Harbor» garantiscono un «livello di protezione adeguato» dei dati personali

trasferiti dalla Comunità Europea a società ed organizzazioni aventi sede negli USA:

il trasferimento dei dati, dall’Unione Europea verso gli Stati Uniti, effettuato utilizzando l’accordo di

Safe-Harbor era considerato sicuro.




2.3 Il caso Schrems

9

Lo studente universitario austriaco Max Schrems ha

presentato una denuncia alle autorità giurisdizionali

irlandesi al fine di far accertare la presunta illiceità del

trasferimento dei suoi dati personali, effettuato dal noto

social network Facebook, dalla sua filiale irlandese agli Stati

Uniti, sulla base dell’accordo di Safe-Harbor. A fondamento

di tale denuncia, Max Schrems lamentava il facile accesso

ai suoi dati e, in generale, un’attività di sorveglianza di

massa dei cittadini europei e di accesso del tutto

indiscriminato ai loro dati in forma continuativa e

sistematica da parte delle pubbliche autorità americane

(tra cui NSA e FBI).Nella foto, Max Schrems



In primo grado, l’autorità adita respingeva il ricorso, da un latoritenendo che non vi fosse prova che i dati personali delricorrente fossero stati oggetto di accesso da parte delleautorità pubbliche statunitensi, dall’altro osservando chel’adeguatezza del trasferimento dei dati verso gli Stati Unitifosse stata oggetto della Decisione 2000/520/CE. Il Sig.Schrems impugnava il provvedimento innanzi alla High Courtof Ireland (Alta Corte di Giustizia irlandese), la quale decidevadi rimettere la questione alla CGE, al fine di verificare se laDecisione 2000/520/CE potesse avere come effetto diimpedire ad un’autorità nazionale di pronunciarsi su un ricorsoconcernente l’inadeguatezza del livello di protezioneassicurato da un Paese terzo e, se necessario, di bloccare iltrasferimento dei dati verso tale paese. Con sentenza del6.10.2015, la CGE ha dichiarato l’invalidità della decisione n.2000/520/CE, con la quale la Commissione aveva rilevatol’adeguatezza dei “Principi di approdo sicuro dei dati negli StatiUniti” (c.d. “Safe-Harbor”).


2.4 L’invalidazione

10



La CGE, con sentenza del 6 ottobre 2015, ha precisato che la decisione n. 2000/520/CE della

Commissione Europea non impedisce alle autorità dei singoli Stati Membri, investite di un

ricorso, di esaminare se un trasferimento di dati personali da uno Stato Membro verso uno

Stato Extra-UE rispetti i requisiti di legge, garantendo un adeguato livello di protezione.

Spetta sempre e comunque solo alla CGE il compito di decidere se una decisione della

Commissione Europea, come qualsiasi altro suo atto, sia o meno valido.


2.4 L’invalidazione (Segue I)

11



Ma cosa accade di diverso in America rispetto

all’Europa?

La legge attribuisce alla Nsa (i “noti” servizi

segreti) poteri di ingerenza molto ampli volti

ad un controllo sistematico ed indiscriminato

dei dati contenuti nei database conservati

presso server nazionali in presenza di un

potenziale rischio per la sicurezza nazionale.


2.4 L’invalidazione (Segue II)

12



Venuta meno, dunque, la decisione della Commissione che presupponeva un livello di protezione

adeguato del trattamento dei dati dei cittadini europei trasferiti negli USA, rimangono applicabili per il

trasferimento dei dati verso Paesi terzi:

le disposizioni dell’art. 25 della Direttiva 95/46/CE, sulla scorta delle quali sono gli Stati Membri a

dover valutare se il Paese terzo garantisca un livello di protezione adeguato, avendo riguardo in

particolare alla natura dei dati, alle finalità dei trattamenti previsti, al paese d'origine ed al paese di

destinazione finale, alle norme di diritto, generali o settoriali, vigenti nel paese terzo di cui trattasi,

nonché alle regole professionali e alle misure di sicurezza ivi osservate;

gli strumenti alternativi all’accordo di Safe-Harbor.

3. Le possibili alternative per trasferire i dati negli USA

3.1 Il quadro generale

13



3. Le possibili alternative per trasferire i dati negli USA

3.2 La descrizione degli strumenti

14

Model Clauses

Binding Corporate Rules, «BCR»

Consenso dell’interessato al trasferimento

esecuzione di obblighi derivanti da un contratto, conclusione di un contratto, adempimento a

specifiche richieste dell’interessato prima della conclusione del contratto

Le altre ipotesi previste dall’art. 43 Codice Privacy

- LA STRATEGIA PIÙ ADATTA DA ADOTTARE PER IL TRASFERIMENTO VA VALUTATA CASO PER CASO -



4. Safe-Harbor 2.0

15

Secondo il Presidente del Garante della Privacy italiano Antonello Soro, è assolutamente

necessario un nuovo accordo di «approdo sicuro» con gli Stati Uniti, del quale i Garanti europei

per la protezione dei dati stanno discutendo già in queste settimane.

La Commissione ha, nel corso degli anni, periodicamente approntato report sul funzionamento

dell’accordo di Safe-Harbor tra UE e Stati Uniti nei quali esprimeva giudizi negativi sul livello di

protezione dei dati da parte dell’ordinamento americano e auspicava già da tempo la revisione

dell'accordo: nonostante ciò, come spiega il Presidente Soro, «non si è mai fatto nulla in

concreto per rimediare».

Secondo il Presidente Soro, il nuovo Safe-Harbor si inserirà in un contesto diverso, in cui «i

tempi possono dirsi cambiati e l'UE ha maggiore consapevolezza del valore della privacy, ormai

stabilmente inserito nella Carta fondamentale dei diritti europei».



5. L’adeguamento delle model clauses

16

Secondo il Presidente del Garante della Privacy italiano, Antonello Soro, la Commissione

dovrebbe attivarsi per revisionare ed eventualmente aggiornare gli altri strumenti di

trasferimento dei dati e, in particolare, le decisioni in materia di model clauses, tenendo in

considerazione la normativa americana in tema di pubblica sicurezza e i trattamenti di dati

dei cittadini europei che ne conseguono.



6. Il nuovo regolamento UE sulla protezione dei dati

17

Dopo anni di consultazioni, l'Unione Europea sembra finalmente pronta ad approvare il

Regolamento sulla privacy che sostituirà la Direttiva del 95/46/CE.

La necessità è quella di adattare il quadro normativo attuale alle sfide poste dalla rapida

evoluzione delle nuove tecnologie (in particolare on-line) e dalla crescente globalizzazione, pur

mantenendo la neutralità tecnologica del quadro giuridico.

Obiettivi: riduzione della frammentazione giuridica tra vari Paesi, maggiore certezza giuridica per i

responsabili del trattamento dei dati e dei cittadini, riduzione degli oneri amministrativi, attuazione

coerente della protezione dei dati nell’Unione Europea, effettivo esercizio da parte dei privati del

diritto alla protezione dei dati personali nell’Unione Europea, controllo e applicazione efficaci della

normativa in materia di protezione dei dati.



Tipizzazione degli strumenti:

Trasferimento previa «decisione di adeguatezza» (art 41): Il trasferimento è ammesso se la

Commissione ha deciso che il Paese terzo, o un territorio o settore di trattamento all’interno del

Paese terzo, o l’organizzazione internazionale in questione, garantisce un livello di protezione

adeguato. In tal caso il trasferimento non necessita di ulteriori autorizzazioni. Nel valutare

l’adeguatezza del livello di protezione, occorre tenere in considerazione lo stato di diritto, le

legislazioni (generale e settoriale), le regole professionali, le misure di sicurezza, i diritti effettivi

azionabili in sede amministrativa/giudiziaria, dello Stato di destinazione dei dati.

Trasferimento in presenza di «garanzie adeguate» (art. 42): Se la Commissione non ha preso

alcuna decisione ai sensi dell’articolo 41, il titolare o il responsabile del trattamento possono

trasferire dati personali verso un Paese terzo o un’organizzazione internazionale solo se ha offerto

garanzie adeguate per la protezione dei dati personali.

5. Il nuovo regolamento UE sulla protezione dei dati (Segue I)

18



Costituiscono garanzie adeguate ai sensi dell’art. 42 della bozza di Regolamento:

le norme vincolanti d’impresa (ex «BCR»);

le clausole contrattuali tipo adottate dalla Commissione o da un’autorità di controllo e dichiarate

valide dalla Commissione («Model Clauses»);

le clausole contrattuali utilizzate per il trasferimento tra il titolare o il responsabile del trattamento e il

destinatario dei dati, autorizzate da un’autorità di controllo.

5. Il nuovo regolamento UE sulla protezione dei dati (Segue II)

19



In mancanza di una decisione di adeguatezza o di garanzie adeguate, il trasferimento verso un Paese

terzo è ammesso solo:

alle condizioni già previste dall’art. 43 del Codice Privacy (consenso interessato, esecuzione

contratto o misure precontrattuali, conclusione di un contratto, motivi di interesse pubblico

rilevante ecc..);

quando sia necessario per il perseguimento dei legittimi interessi, che non possano definirsi

frequenti o ingenti, e qualora il titolare o il responsabile del trattamento abbiano offerto garanzie

adeguate per la protezione dei dati personali.

5. Il nuovo regolamento UE sulla protezione dei dati (Segue III)

20



Linee Guida Pratiche finali

21

Domandati: «la mia società trasferisce dati al difuori dell’Unione Europea?»

Se si, «in quale Paese?»

Se trasferisci dati negli Stati Uniti, «quale meccanismo utilizzi per il trasferimento?»

Analizza il flusso dei tuoi dati: la tipologia, la natura dei dati e l’importanza del trasferimento dei

dati per la tua società (infragruppo, cloud). Non dimenticare di considerare anche i fornitori e i

venditori di cui tratti i dati.

Individua la Tua posizione nel processo di trasferimento dei dati: sei Titolare o Responsabile?

STAY UPDATED!

SEND

è un evento

organizzato da

GRAZIE

SEND15 | Protezione dei dati: che cosa significa e quale impatto ha la recente invalidazione dell’accordo Safe Harbour

Law