La Corte di Giustizia della Unione Europea (CGUE) ha dichiarato invalidi i principi privacy del c.d. Safe Harbor relativi al trasferimento dei dati negli Stati Uniti richiedendo l’adozione di azioni immediate.
Ho scritto questo articolo con la mia collega Giulia Zappaterra, mia collega dello studio legale DLA Piper, in una delle giornate più lunghe e stressanti per i tech lawyer che io possa ricordare…
Cosa ha dichiarato la Corte di Giustizia?
TechEconomy ha già discusso delle sentenza. In breve la Corte di Giustizia ha dichiarato che i principi del Safe Harbor sono invalidi in quanto i dati trasferiti negli Stati Uniti ai sensi di tali principi non godrebbero di un livello di protezione dei dati personali equivalente a quello assicurato nei territorio dell’Unione Europea.
Ciò è dovuto al fatto che, come dimostrato dal caso Snowden, le autorità pubbliche possono indiscriminatamente monitorare e accedere ai dati negli Stati Uniti anche in circostanze che non si possono considerare assolutamente necessarie. E la decisione della Commissione europea (ora invalidata) che ha approvato i principi del Safe Harbor non limitava tali possibili ingerenze.
Cosa succede ORA ai dati trasferiti negli Stati Uniti?
La decisione della Corte di Giustizia europea solleva numerosi interrogativi. Ad esempio, quali saranno le conseguenze con riferimento al trattamento effettuato sino ad ora in forza del regime di Safe Harbor? Ed ancora: le società certificate Safe Harbor sono tenute a bloccare qualsiasi ulteriore trattamento dei dati trasferiti?
La decisione non è di per se sufficiente a sospendere il trasferimento dei dati verso gli Stati Uniti. Tale potere spetta alle competenti autorità nazionali, ovvero per quanto concerne l’Italia al Garante per la protezione dei dati personali. Tuttavia, alla luce della decisione della CGUE, è verosimile che i trasferimenti di dati verso gli Stati Uniti basati esclusivamente sul regime Safe Harbor saranno oggetto di contestazione.
Cosa bisogna fare ORA?
Presi dall’agitazione delle ultime ore, la domanda che i nostri client ci stanno ponendo più spesso è
And so what?
Cosa devono fare immediatamente le società? Non c’è la risposta perfetta, ma una possibile “action list” comprende le seguenti attività:
- revisionare i dati attualmente trasferiti negli Stati Uniti ai sensi del Safe Harbor, ivi compresi gli accordi con i fornitori americani che fanno affidamento su tali principi;
- limitare questi trasferimenti di dati a ciò che è essenziale per il business della società; e
- identificare soluzioni alternative immediate quali ad esempio l’adozione delle c.d. “standard contractual clauses“.
Cosa fare in relazione a FUTURI trasferimenti di dati?
Le società devono certamente trovare soluzioni alternative al trasferimento dei dati negli Stati Uniti quali le cosiddette Binding Corporate Rules (BCR) – strumento volto a consentire il trasferimento dei dati tra società facenti parti dello stesso gruppo di imprese – o sulle Standard Contractual Clauses – strumenti contrattuali espressamente approvati dalla Commissione Europea e frequentemente utilizzati dalle società.
La domanda però è
è possibile estendere il ragionamento della CGUE anche alle decisioni relative alle BCR e alle Standard Contractual Clauses?
Ci troviamo in una fase transitoria in cui anche queste soluzioni alternative potrebbero essere invalidate nel futuro? Infatti, anche in tali casi non si possono escludere possibili ingerenze da parte delle autorità pubbliche americane, cosicché anche tali decisioni potrebbe essere in futuro dichiarate invalide. Per evitare un’altra giornata di assoluto “panico“, le multinazionali dovrebbero compiere una dettagliata due diligence interna sulle modalità in cui i dati vengono trasferiti negli Stati Uniti e come minimizzare i rischi di future contestazioni.
La posizione del Garante Privacy
Le conseguenze pratiche della sentenza della CGUE dipenderanno dunque dalle azioni intraprese dalle autorità nazionali. In tale contesto, il Garante italiano ha evidenziato come sia necessario fornire una risposta coordinata a livello europeo anche da parte dei garanti nazionali, i quali stanno valutando le modalità più efficaci per individuare linee-guida comuni applicabili ai trasferimenti dei dati verso gli Stati Uniti.
Sino a quando tali linee guida non saranno pubblicate, diversi rimangono i quesiti. In tale ottica è pertanto necessario che le società coinvolte nel trasferimenti di dati personali verso gli Stati Uniti riesaminino le metodologie di trasferimento al fine di valutare la loro conformità con la normativa comunitaria.
L'articolo Principi privacy del Safe Harbor invalidi, cosa fare ORA? è stato pubblicato originariamente su Tech Economy - The Business Value of Technology.