Diritto al digitale

Principi privacy del Safe Harbor invalidi, cosa fare ORA?

data

La Corte di Giustizia della Unione Europea (CGUE) ha dichiarato invalidi i principi privacy del c.d. relativi al trasferimento dei dati negli Stati Uniti richiedendo l’adozione di azioni immediate.

Ho scritto questo articolo con la mia collega Giulia Zappaterra, mia collega dello studio legale DLA Piper,  in una delle giornate più lunghe e stressanti per i tech lawyer che io possa ricordare…

Cosa ha dichiarato la Corte di Giustizia?

TechEconomy ha già discusso delle sentenza. In breve la Corte di Giustizia ha dichiarato che i principi del Safe Harbor sono invalidi in quanto i dati trasferiti negli Stati Uniti ai sensi di tali principi non godrebbero di un livello di protezione dei dati personali equivalente a quello assicurato nei territorio dell’Unione Europea.

Ciò è dovuto al fatto che, come dimostrato dal caso Snowden, le autorità pubbliche possono indiscriminatamente monitorare e accedere ai dati negli Stati Uniti anche in circostanze che non si possono considerare assolutamente necessarie. E la decisione della Commissione europea (ora invalidata) che ha approvato i principi del Safe Harbor non limitava tali possibili ingerenze.

Cosa succede ORA ai dati trasferiti negli Stati Uniti?

La decisione della Corte di Giustizia europea solleva numerosi interrogativi. Ad esempio, quali saranno le conseguenze con riferimento al trattamento effettuato sino ad ora in forza del regime di Safe Harbor? Ed ancora: le società certificate Safe Harbor sono tenute a bloccare qualsiasi ulteriore trattamento dei dati trasferiti?

La decisione non è di per se sufficiente a sospendere il trasferimento dei dati verso gli Stati Uniti. Tale potere spetta alle competenti autorità nazionali, ovvero per quanto concerne l’Italia al Garante per la protezione dei dati personali. Tuttavia, alla luce della decisione della CGUE, è verosimile che i trasferimenti di dati verso gli Stati Uniti basati esclusivamente sul regime Safe Harbor saranno oggetto di contestazione.

Cosa bisogna fare ORA?

Presi dall’agitazione delle ultime ore, la domanda che i nostri client ci stanno ponendo più spesso è

And so what?

Cosa devono fare immediatamente le società? Non c’è la risposta perfetta, ma una possibile “action list” comprende le seguenti attività:

  1. revisionare i dati attualmente trasferiti negli Stati Uniti ai sensi del Safe Harbor, ivi compresi gli accordi con i fornitori americani che fanno affidamento su tali principi;
  2. limitare questi trasferimenti di dati a ciò che è essenziale per il business della società; e
  3. identificare soluzioni alternative immediate quali ad esempio l’adozione delle c.d. “standard contractual clauses“.

Cosa fare in relazione a FUTURI trasferimenti di dati?

Le società devono certamente trovare soluzioni alternative al trasferimento dei dati negli Stati Uniti quali le cosiddette Binding Corporate Rules (BCR) – strumento volto a consentire il trasferimento dei dati tra società facenti parti dello stesso gruppo di imprese – o sulle Standard Contractual Clauses – strumenti contrattuali espressamente approvati dalla Commissione Europea e frequentemente utilizzati dalle società.

La domanda però è

è possibile estendere il ragionamento della CGUE anche alle decisioni relative alle BCR e alle Standard Contractual Clauses?

Ci troviamo in una fase transitoria in cui anche queste soluzioni alternative potrebbero essere invalidate nel futuro? Infatti, anche in tali casi non si possono escludere possibili ingerenze da parte delle autorità pubbliche americane, cosicché anche tali decisioni potrebbe essere in futuro dichiarate invalide. Per evitare un’altra giornata di assoluto “panico“, le multinazionali dovrebbero compiere una dettagliata due diligence interna sulle modalità in cui i dati vengono trasferiti negli Stati Uniti e come minimizzare i rischi di future contestazioni.

La posizione del Garante Privacy

Le conseguenze pratiche della sentenza della CGUE dipenderanno dunque dalle azioni intraprese dalle autorità nazionali. In tale contesto, il Garante italiano ha evidenziato come sia necessario fornire una risposta coordinata a livello europeo anche da parte dei garanti nazionali, i quali stanno valutando le modalità più efficaci per individuare linee-guida comuni applicabili ai trasferimenti dei dati verso gli Stati Uniti.

Sino a quando tali linee guida non saranno pubblicate, diversi rimangono i quesiti. In tale ottica è pertanto necessario che le società coinvolte nel trasferimenti di dati personali verso gli Stati Uniti riesaminino le metodologie di trasferimento al fine di valutare la loro conformità con la normativa comunitaria.

 

Giulio Coraggio

Giulio Coraggio

Avvocato in Italia ed Inghilterra specializzato in diritto delle nuove tecnologie, privacy, giochi e diritto commerciale, lavora nel dipartimento di Proprietà Intellettuale e Tecnologie dello studio legale internazionale DLA Piper. Riconosciuto da alcune delle più importanti directory legali internazionali è spesso relatore a conferenze e webinar sulle nuove tecnologie e i giochi. Ha il grande privilegio di lavorare nel settore delle tecnologie che sono la sua passione (insieme al Napoli…) e trasmette questa passione ai propri clienti immedesimandosi nel loro business.

Facebook Twitter LinkedIn Google+ 

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This