La Corte di Giustizia Europea ha stabilito che l’accordo Safe Harbor stipulato tra Unione Europea e Stati Uniti non è più valido: l’intesa consentiva la conservazione di dati trasferiti negli USA e appartenenti ad utenti europei secondo regole locali. Dunque, ogni azienda europea dovrà ora trovare nuove modalità per dimostrare giuridicamente che tali dati sono trattati in conformità alla legislazione UE. La sentenza non ha fatto menzione di un periodo di deroga, pertanto ha effetti immediati e di vasta portata anche per le aziende statunitensi. Comprendere le implicazioni della sentenza è infatti di cruciale importanza per le imprese che si affidano a servizi in Cloud erogati da data center fisicamente localizzati in territorio americano.
=> Sentenza UE sul Safe Harbor
In Italia il Garante Privacy ha recepito rapidamente la sentenza con il provvedimento del 22 ottobre, secondo cui le imprese italiane e le multinazionali operanti nel nostro paese dovranno ricorrere alle altre possibilità previste dalla normativa sulla protezione dei dati personali per trasferire dati oltreoceano.
Linee guida
Il team legale di NetApp (società americana di software, sistemi e servizi per gestire e memorizzare i dati) ha messo appunto delle linee guida per aiutare le aziende a districarsi nel nuovo scenario. Sheila FitzPatrick (World Wide Data Governance & Privacy Counsel/Chief Privacy Officer) spiega che:
«La radice del problema è la differenza fondamentale tra le aspettative di privacy dell’UE e la fiducia degli Stati Uniti nella crescita del mercato globale, nonostante il potenziale effetto negativo sul diritto fondamentale del cittadino di proteggere i propri dati personali. La Corte di Giustizia Europea ha evidenziato l’esistenza di soluzioni collaudate e fattibili che raggiungano gli standard richiesti per le aziende provider e fornitrici di hardware e software. I fornitori di soluzioni tecnologiche devono garantire la conformità dal punto di vista dello storage e dell’elaborazione dei dati e prevenire i rischi connessi ad azioni legali. I provider tecnologici non devono limitarsi alla sola fornitura infrastrutturale, ma diventare consulenti di fiducia, capendo che il rispetto della privacy dei dati va oltre la garanzia della sicurezza».
Il Dr. Dierk Schindler (Head of Legal Field Services EMEA) sottolinea l’esigenza di correttezza delle basi tecnologiche e legali:
«Qualsiasi azienda deve identificare e prendere tutte le misure necessarie per conformarsi alle leggi specifiche sulla protezione dei dati nei paesi in cui opera. Considerare la privacy dei dati come una questione secondaria non è più un’opzione percorribile per le aziende, ma è necessario includerla nel go-to-market fin dall’inizio.La sentenza sottolinea che programmi e pratiche efficaci sulla privacy e sulla gestione dei dati sono un dovere per tutte le organizzazioni che devono gestire dati personali. Le aziende devono rassicurare i propri clienti, partner e dipendenti, che tutti i dati sono raccolti, elaborati, accessibili, condivisi, archiviati, trasferiti e messi in sicurezza in conformità con le leggi applicabili sulla protezione dei dati, e utilizzati solo in un modo prestabilito, legittimo e legale, indipendentemente se i dati siano archiviati presso l’azienda o presso un fornitore cloud esterno. Infatti, il successo commerciale è figlio della fiducia che i consumatori assegnano all’azienda e qualsiasi violazione, accesso e utilizzo non autorizzato di dati personali possono rovinare qualsiasi azienda.
Come sempre, la sfida nasconde l’opportunità: la protezione dei dati implementata correttamente, crea infatti, una significativa occasione per differenziarsi rispetto alla concorrenza.»
=> Nuovo regolamento UE per la Privacy in azienda
Operatività
Il Gruppo di Lavoro Article 29, che riunisce i garanti privacy europei, prevede come scadenza per l’emissione del nuovo Safe Harbor la fine di gennaio e ha specificato la non validità delle autocertificazioni emesse dalle imprese sulla base dei vecchi accordi. Come restare operativi senza interrompere il servizio verso i clienti o cambiare operatore e/o provider in corsa?
L’Avvocato Stefano Mele, di Carnelutti Studio Legale Associato Milano, interpellato sulle modalità di gestione del post “Safe Harbor”, suggerisce una via per non bloccare il trasferimento dei dati personali verso gli Stati Uniti:
«Le società hanno allo stato attuale due soluzioni: la prima, più pratica e veloce, si basa sulla redazione di uno specifico accordo per il trasferimento dei dati personali seguendo lo schema delle clausole contrattuali standard dell’Unione Europea. La seconda, un po’ più macchinosa ma di carattere definitivo, è quella di redigere delle cosiddette Binding Corporate Rules, ovvero delle regole interne da applicare all’intera struttura societaria, indipendenti dal luogo dove si trovino le branch, volte a regolamentare in maniera unificata proprio il trattamento dei dati personali».
Article 29 ricorda che Binding Corporate Rules e Model Contract Clauses, “possono essere usate”, ma le autorità di protezione dei dati hanno pieno diritto di indagare sulla base di segnalazioni specifiche, per esercitare le loro funzioni di protezione dei diritti degli individui.
Approfondimenti
- Corte di Giustizia UE – Sentenza nella causa C-362/14, Garante Privacy – Provvedimento 22 ottobre 2015; Netapp – Sessione Q&A, How Safe Harbor Resonates with Data Fabric Vision; Article 29 – Approfondimenti.