Il GDPR per le piccole (e piccolissime) imprese
Del US-UE Privacy Shield si sta molto parlando in questi giorni, anche in maniera specifica e approfondita. Io qui, invece, vorrei soffermarmi solo su pochi aspetti, rinviando, per i meccanismi di trasferimento dei dati dopo l’invalidazione del Safe Harbor, al post in cui ne ho parlato in relazione al cloud.
Detto in maniera brevissima, per trasferire lecitamente dati in paesi terzi, cioè fuori dallo spazio europeo, occorre servirsi di alcuni strumenti elencati tassativamente nella Direttiva 95/46/CE: uno di questi era il Safe Harbor, caducato nello scorso ottobre dalla Corte di Giustizia. Il Gruppo di Lavoro ex art 29 (che riunisce le Autorità europee per la protezione dei dati personali), ha allora assegnato un termine (30 gennaio 2016) alla Commissione UE per rimpiazzare il Safe Harbor (rispettando i principi enunciati dalle Corte di Giustizia), e fissato un’assemblea plenaria dopo la scadenza del termine suddetto, in modo da poter esprimere un parere circa l’effettiva portata della sentenza, determinare l’ambito in cui si sarebbero effettivamente esplicate le sue conseguenze, e indicato agli Stati Membri il da farsi. Dopo la scadenza del termine, e precisamente il 2 febbraio 2016, la Commissione UE ha dichiarato di aver ricevuto dalle autorità statunitensi quelle che ha ritenuto assicurazioni sufficienti a garantire la tutela degli interessati nel trasferimento di dati personali verso gli USA, ed ha annunciato di essere pervenuta a un nuovo Safe Harbor, che ha rinominato, per evidenziare la maggiore tutela che apporterebbe e distinguerlo dal primo, US-UE Privacy Shield.
Durante la riunione del Gruppo di lavoro ex art 29 il Privacy Shield è stato presentato oralmente dalla Commissione e, benché fosse fuori termine, il Gruppo di Lavoro ex art 29 ha deciso di tenere conto della volontà politica di non bloccare i trasferimenti di dati verso gli Stati Uniti e dell’impegno profuso dalla Commissione, ma poiché non aveva ricevuto alcuna documentazione in ordine alla vincolatività del Privacy Shield, al contenuto preciso degli obblighi assunti dagli Stati Uniti, al sistema di controllo sul loro rispetto, nonché in ordine ai rimedi previsti in caso di inadempimento, si è riservato ogni decisione all’esito dell’esame dei documenti, dando alla Commissione termine per la loro trasmissione sino alla fine di Febbraio 2016.
Nel caso in cui la Commissione rispetti la scadenza assegnata, il Gruppo di lavoro ha ipotizzato di poter prendere una decisione intorno alla fine di marzo o ad aprile 2016.
Qui sotto provo a mettere a fuoco, in estrema sintesi, alcuni aspetti che possono interessare gli operatori.
-
Che cos’è il Privacy Shields?
Al momento, il Privacy Shield, in realtà, non è ancora nulla. Si tratta di una serie di negoziati, intercorsi tra la Commissione e le autorità statunitensi, che verranno formalizzati in questi giorni, e trasmessi al Gruppo di Lavoro ex art 29 che ne valuterà il grado di protezione.
Lo scopo è di costituire un protocollo che garantisca adeguate tutele ai dati personali trasferiti dall’Unione Europea verso gli Stati Uniti, protocollo che potrà costituire la base della decisione della Commissione che consentirà senza particolari adempimenti di trasferire i dati negli USA, una volta accolta dalle DPA nazionali.
Non è quindi un accordo internazionale, né un protocollo cui debbono attenersi le imprese europee. Se la Commissione prenderà sulla sua base una decisione di adeguatezza, col placet delle DPA nazionali, le imprese americane potranno aderire al protocollo e quelle europee potranno trasferire i dati negli USA alle imprese aderenti senza fare null’altro.
-
Il Privacy Shield si applica già?
No. Da quanto detto sopra consegue che non è ancora applicabile.
Per l’Italia sarà il Garante Privacy a consentire i trattamenti sulla base del Privacy Shield, con una propria autorizzazione, cioè con un provvedimento che verrà pubblicato sul sito istituzionale e in Gazzetta Ufficiale. Al momento non è possibile trasferire dati, pertanto, sulla base del Privacy Shield, ma occorrerà utilizzare altri strumenti, indicati dall’art. 26 della Direttiva 95/46/CE.
-
Si possono ancora usare clausole contrattuali standard (o model clauses) e Binding Corporate Rules?
Sì, nella dichiarazione che il Gruppo di lavoro ha diffuso il 03.02.2016, il Gruppo ha affermato che i trasferimenti effettuati sulla scorta di questi strumenti sono ancora validi, e che resteranno tali fino a che non verrà presa una decisione (nella peggiore delle ipotesi, quindi nel caso in cui la Commissione non fosse in grado di rispettare il termine assegnato per il deposito di documentazione scritta, resteranno comunque valide sino a fine febbraio). E’ importante notare come il Gruppo abbia subordinato la futura validità delle BCR e delle clausole contrattuali standard alla copertura offerta dal Privacy Shield, e come pertanto la sorte di tutti questi strumenti appaia strettamente connessa: il Privacy Shield, per offrire un livello di adeguatezza soddisfacente, dovrà offrire tutela anche ai trasferimenti effettuati attraverso BCR e clausole contrattuali standard, ma d’altro canto, se nel suo insieme, il livello di adeguatezza offerto dal Privacy Shield non sarà giudicato sufficiente, cadranno con lui, e salvo proroghe per l’adeguamento, anche BCR e clausole contrattuali standard.
-
Chi non usa le BCR o le clausole contrattuali standard può comunque continuare a usare il Safe Harbor per trasferire dati negli USA, fino a quando non saranno autorizzati i trasferimenti sulla base del Privacy Shield?
No. I trasferimenti di dati personali basati solo sul Safe Harbor sono vietati. Occorrerebbe fare ricorso alle clausole contrattuali standard se non è possibile ricorrere agli altri strumenti previsti dall’art. 26 della Direttiva 95/46/CE, oppure, se non è possibile predisporle, bisogna sospendere o interrompere i trasferimenti di dati personali verso gli USA.
-
Il Privacy Shield potrà essere annullato dalla Corte di Giustizia?
Il Gruppo di Lavoro ha enucleato alcuni principi tratti dalla Giurisprudenza della Corte di Giustizia, e ha detto che li userà come parametri per valutare l’adeguatezza del Privacy Shield, che dovrà offrire maggiori garanzie rispetto al Safe Harbor.
Tuttavia nulla vieta che venga nuovamente sottoposto al vaglio della Corte di Giustizia, dopo la sua “entrata in vigore”: se non rispetterà i principi già enunciati dalla Corte, la Corte potrà comunque invalidarlo.
Per questo l’esito della disamina del Gruppo di Lavoro non può essere, allo stato, previsto: la valutazione dovrà essere rigorosa, per evitare un’altra sforbiciata della CGUE, ma, senza nulla di scritto, non è possibile valutare alcunché.
AGGIORNAMENTO AGOSTO 2016 Infine la decisione di adeguatezza sul Privacy Shield è stata adottata dalla Commissione il 12 luglio 2016, non senza dubbi e perplessità. Il Privacy Shield è efficace dal 01.08.2016, ma tra un anno sarà sottoposto nuovamente al vaglio delle Autorità europee. Dal primo agosto, comunque, è possibile per le imprese statunitensi aderire allo scudo, e, di conseguenza, sarà nuovamente possibile, per i titolari europei, trasferire i dati verso gli USA sulla sola base dell’adesione al Privacy Shield dell’impresa destinataria del trasferimento, senza ricorrere ad altri adempimenti. Come riconoscere le imprese aderenti? Tra le altre cose, dovranno inserire nelle informative privacy il link al sito dedicato.
Per una panoramica rapidissima della decisione adottata è possibile consultare l’infografica pubblicata dall’AGPDP.
AGGIORNAMENTO DICEMBRE 2016: nuovo post su Autorizzazione AGPDP
Tutti i contenuti presenti nel blog, ove non diversamente specificato, sono distribuiti con licenza Creative Commons Attribuzione – Condividi allo stesso modo 4.0 Internazionale.
Articoli correlati
