Lo scudo privacy ci tutelerà?

Dopo essere trascorsi oltre nove mesi dalla Sentenza della Corte di Giustizia Europea che ha annullato l’accordo di “safe harbor” in materia di privacy, lo scorso 12 luglio la Commissione Europea ha finalmente raggiunto una nuova intesa con gli Stati Uniti per regolare il trasferimento oltreoceano dei dati personali europei.

L’accordo, definito in modo molto eloquente dagli stessi componenti della Commissione come “Scudo UE-USA per la privacy” viene descritto come “un sistema nuovo e solido che offrirà agli europei la protezione dei dati personali, e alle imprese la certezza del diritto. Rafforzerà le norme sulla protezione dei dati, che saranno fatte rispettare più rigorosamente, offrirà garanzie riguardo all’accesso da parte delle autorità pubbliche e semplificherà per le singole persone le possibilità di ricorso in caso di reclamo”.

 

Lo Scudo privacy prevederà, infatti, obblighi rigorosi per le imprese statunitensi che aderiranno allo Scudo, il cui rispetto sarà costantemente sottoposto a verifica da parte del Dipartimento del Commercio USA.

Saranno previste, inoltre, maggiori garanzie relativamente all’accesso ai dati da parte del governo statunitense. Quest’ultimo ha, in particolare, assicurato ufficialmente che l’accesso delle autorità pubbliche ai dati per scopi di applicazione della legge e di sicurezza sarà soggetto a garanzie e sistemi di vigilanza più stringenti, cercando di escludere, così, attività indiscriminate di sorveglianza di massa sui dati personali.

Inoltre, al fine di fornire una tutela sostanziale dei diritti individuali, lo Scudo privacy disporrà anche di meccanismi di composizione delle controversie per coloro che riterranno di aver subito un abuso.

Le persone potranno rivolgersi perfino alle rispettive autorità nazionali di protezione dei dati le quali, attraverso la collaborazione con la Commissione federale del Commercio USA, assicureranno che i casi di reclamo siano effettivamente esaminati e risolti.

Infine, qualora tutti i mezzi di tutela a disposizione dovessero alla fine dimostrarsi vani, il caso oggetto di presunto abuso sarà sottoposto ad un procedimento arbitrale predisposto ad hoc.

Da quanto affermato nel comunicato stampa pubblicato dalla Commissione la “decisione di adeguatezza” dell’accordo è stato già notificato agli Stati membri, entrando così in vigore automaticamente.

A partire dal prossimo 1° agosto, invece, le imprese potranno certificarsi come aderenti presso il Dipartimento del Commercio statunitense.

Grazie allo Scudo privacy gli accordi commerciali tra UE e USA, messi a dura prova dall’invalidazione del safe harbor, potranno ora tornare finalmente a navigare nelle acque tranquille di una disciplina più chiara. Tuttavia, ci si domanda: per i cittadini sarà altrettanto efficace? Noi vi terremo aggiornati!

 

Convegno del Garante Privacy “La società sorvegliata”

Sono state pubblicate sul sito del Garante per la protezione dei dati personali le slide e le relazioni del Convegno “La società sorvegliata” che si è tenuto lo scorso 28 gennaio 2016 presso l’Aula del Palazzo dei Gruppi Parlamentari in Via di Campo Marzio a Roma. Tra i relatori anche Guido Scorza, managing partner di e-Lex, la cui presentazione è disponibile qui.

Trasferimento di dati personali: quali scenari dopo la fine del Safe Harbor Agreement?

imm2 WikiImagesCon la sentenza del 13 novembre 2015, la Corte di Giustizia ha annullato gli accordi di Safe Harbors, che legittimavano il trasferimento dei dati personali tra Europa e Stati Uniti. L’impatto della decisione sulle imprese.
Gli Stati Uniti non forniscono una protezione sufficiente dei dati personali dei cittadini europei. A stabilirlo è stata la Corte Europea che ha così stracciato una decisione della Commissione che giudicava il paese a Stelle e Strisce come un porto sicuro per le informazioni degli europei, autorizzando così le grandi aziende di internet a poter operare in tranquillità dall’altra sponda dell’Atlantico (accordo Safe Harbour del 2000).
Ma la decisione, presa in seguito alla denuncia contro Facebook del giovane austriaco Max Schrems, che impatti avrà sul nostro modo di usare la rete?
Ricapitoliamo il quadro normativo. L’art. 25 della direttiva 46/95/CE prevede un generale divieto di trasferire dati personali al di fuori dell’Unione europea. Questa regola ammette, però, una serie di eccezioni: il trasferimento è ammesso nel caso in cui vi sia il consenso della persona cui i dati personali si riferiscono, ovvero avvenga in esecuzione di misure contrattuali o precontrattuali o, ancora, per rispondere a un interesse pubblico; in presenza di strumenti negoziali – validati dalla Commissione europea – che offrano garanzie di sicurezza; infine, in caso di decisioni di adeguatezza, ovvero attestazioni della Commissione europea che un determinato Paese, non appartenente all’Unione o allo spazio economico europeo, assicuri un livello di protezione adeguato, che sia quindi dotato di misure legislative che offrano un livello di protezione dei dati personali conforme agli standard comunitari
Tra le decisioni di adeguatezza – che hanno interessato, tra gli altri, Israele, Svizzera, Australia e Canada – la più nota è quella del 26 luglio 2000 tra Unione europea e Stati Uniti, detta Safe harbor, oggi invalidata dalla sentenza Schrems. L’operato della Corte di giustizia ha ricevuto apprezzamenti da più parti, non da ultimo dal nostro Garante per la protezione dei dati personali, che ha sottolineato l’importanza che i diritti dei cittadini siano rispettati anche al di fuori dei confini comunitari. Una presa di posizione con la quale non si può che essere d’accordo, ma che forse evidenzia solo una faccia di un prisma molto più complesso.
Innanzitutto, la Corte di giustizia fotografa una situazione grave, ma in parte non più attuale. Dopo lo scandalo Snowden, da cui ha tratto origine anche il caso deciso dai giudici europei, gli Stati Uniti stavano provando ad arginare l’emergenza privacy con alcuni provvedimenti legislativi, tra cui il Judicial Redress Act dello scorso anno.
In secondo luogo, non può essere sottaciuto l’impatto economico e politico della sentenza Schrems. Non è una sentenza che colpisce Facebook o Google, come semplicisticamente si è detto: sono circa 4mila le imprese europee e statunitensi che beneficiano dei principi di Safe harbor e di queste circa il 60% sono Piccole e medie imprese, incluse numerose start up. Quello che in pochi hanno sottolineato è che tali principi regolano esclusivamente i rapporti tra Unione europea e Stati Uniti, ma non sono l’unico strumento giuridico per il trasferimento transfrontaliero di dati personali. Clausole contrattuali standard e binding corporate rules garantiscono la medesima efficacia, legittimando i trasferimenti di dati oltre lo spazio europeo, ma impongono costi transattivi più alti.
Quanto appena detto vale specialmente per le clausole contrattuali standard (anche note come model contract clauses), da inserire all’interno di contratti tra imprese che non appartengono al medesimo gruppo (cui, invece, sono riservate le binding corporate rules). Questi contratti sono necessari perché il flusso dei dati non può essere impedito. Ciò determinerebbe la paralisi per molte imprese, tacendo il potenziale isolamento commerciale per l’Europa: una ricerca del 2013 di Syntech Numérique dimostra con chiarezza che l’interruzione del flusso dei dai transfrontalieri porterebbe alla riduzione del Pil dell’Unione europea del 1,3% e un’emorragia nelle esportazioni dei servizi forniti dall’Europa verso gli Stati Uniti, che diminuirebbero del 6,7%.
Il punto, quindi, è che le imprese saranno costrette a ripiegare sulle clausole contrattuali standard – unico strumento sopravvissuto al crollo del Safe harbor – il cui costo verrà sostenuto da tutti i soggetti interessati, con un impatto differente su piccole e grandi imprese. Un’altra possibile chiave di lettura attiene al rapporto tra Corte di giustizia e Commissione europea.
Non è la prima volta che i giudici comunitari intervengono in materia di dati personali: data retention e diritto all’oblio sono i casi più noti, ma non i soli. Nel settore che ci interessa, la decisione della Corte di giustizia pregiudica fortemente le negoziazioni in atto per la revisione dei Safe harbor che, a questo punto, dovranno essere ripensati ex novo, avendo come punto di partenza l’inadeguatezza di quelli esistenti: in altri termini, si ricomincia da zero e i negoziati, verosimilmente, saranno più lunghi di quello che era lecito attendersi, relegando gli Stati Uniti a un ruolo subordinato che dovrà adattarsi alle strettoie delle posizioni comunitarie. Né può dimenticarsi che l’eco della sentenza in questione potrebbe riverberarsi, a livello europeo, anche sul difficile e travagliato percorso che sta conducendo verso l’approvazione – spesso annunciata e più volte procrastinata – del nuovo regolamento in materia di dati personali.
Non si può, tuttavia, circoscrivere la discussione al solo livello comunitario. Se si inverte la prospettiva geografica, non può non rimarcarsi la leggerezza con cui gli Stati Uniti, a qualsiasi stadio, hanno affrontato il tema della sicurezza delle informazioni personali: prima con lo scandalo Prism e successivamente, a livello giudiziario, con la decisione – che rispecchia un frettoloso laissez-faire – della Corte Suprema nel caso Clapper.
C’è ancora un ulteriore problema. La decisione della Corte Ue fornisce alle autorità garanti nazionali il potere di verificare se il trasferimento di dati personali degli utenti tra nazioni è sicuro. Ma questo eccessivo spezzettamento tra 28 garanti potrebbe portare a non poche complicazioni. Per questo già nelle dichiarazioni nelle ore successive alla sentenza, il garante italiano Soru ha detto che “occorre una risposta coordinata a livello europeo anche da parte dei Garanti nazionali, e in queste ore si stanno valutando le modalità più efficaci per individuare linee-guida comuni”. Sulla stessa linea anche il comunicato di Facebook, che chiede un chiarimento da parte di Ue e Stati Uniti: “È imperativo che i governi di Ue e Usa garantiscano che continueranno a fornire metodi affidabili per il trasferimento legale dei dati e che risolveranno tutte le questioni legate alla sicurezza nazionale”.