Privacy Shield: pubblicata l’autorizzazione del Garante 

Trasferimenti di dati all’estero più facili anche per l’Italia: il Garante Privacy, infatti, ha pubblicato l’Autorizzazione al trasferimento di dati all’estero tramite l’accordo denominato “EU-U.S. Privacy Shield – 27 ottobre 2016, che è stata pubblicata sulla Gazzetta Ufficiale n. 273 del 22 novembre 2016.

Si chiude quindi una delle vicende più tormentose che hanno riguardato i trattamenti trasfrontalieri? Sì e no, come vedremo nel prosieguo.

Delle vicende che hanno portato alla caducazione del Safe Harbor e di quelle inerenti alla genesi dello Scudo Privacy avevo già parlato, e non mi ripeterò.

Si tratta evidentemente di circostanze molto complesse, e la soluzione adottata non ha trovato una soluzione completamente soddisfacente. Vediamo dunque a che punto siamo, quali sono i punti fermi e quali i rischi residui.

L’Autorizzazione in pratica

Al di là di una rosa di ipotesi tassativamente previste dagli articoli 43 e 44 del Codice della privacy “il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all’Unione europea, è vietato quando l’ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato” (art. 45 del Codice della Privacy). Il trasferimento di dati personali in violazione dell’art. 45 è assistito da sanzione amministrativa (articolo 162 comma 2 bis del Codice della privacy)  e penale (art 167 Comma 2 del Codice privacy).

L’articolo 44 rubricato “Altri trasferimenti consentiti” specifica che il trasferimento di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all’Unione europea, è altresì consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell’interessato individuate con le decisioni previste dagli articoli 25, paragrafo 6, e 26, paragrafo 4, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, con le quali la Commissione europea constata che un Paese non appartenente all’Unione europea garantisce un livello di protezione adeguato o che alcune clausole contrattuali offrono garanzie sufficienti. È il caso del provvedimento in commento. L’autorizzazione ai trasferimenti in base al Privacy Shield (o Scudo Privacy) è fondata, infatti, sull’omonima decisione di adeguatezza della Commissione.

Nel caso in cui non sia possibile ricorrere al Privacy Shield, pertanto occorrerà che il trasferimento di dati all’estero risponda ad almeno uno degli altri criteri elencati all’articolo 43 (per i trasferimenti massivi, ad esempio, occorrerà ricorrere alle BCR o alle clausole contrattuali standard).

Il Privacy Shield in pratica

Come si fa a sapere se un trattamento ricade sotto lo Scudo Privacy oppure no?

Innanzi tutto occorre determinare se il trattamento comporta un trasferimento di dati all’estero e in particolare verso gli Stati Uniti, dato che il Privacy Shield riguarda quel Paese. Questo tipo di trasferimento è molto più comune di quanto non possiamo pensare. Si può attuare un trasferimento di dati personali all’estero,  ad esempio, quando  utilizziamo servizi in cloud. Un esempio molto frequente riguarda l’uso di servizi di posta elettronica.

Una volta accertato che si usufruisce di un servizio che comporta un trasferimento di dati personali verso gli USA, occorre accertare se il fornitore del servizio abbia aderito al Privacy Shield.

Sul sito appositamente dedicato allo Scudo Privacy dal governo statunitense è possibile verificare se il proprio fornitore è presente nella lista delle imprese che sono state considerate adeguate.

Se il fornitore risulta adeguato, sarà possibile procedere al trasferimento, altrimenti no e occorrerà individuare un’altra base giuridica.

Non c’è niente che sia per sempre

Il Privacy Shield non è un trattato, è una decisone di adeguatezza. L’Autorizzazione del Garante che abilita il trasferimento di dati in USA sulla sua base quindi legata alla permanenza della decisione di adeguatezza. Se essa venisse rimossa o modificata anche la decisione perderebbe effetto oppure necessiterebbe di essere parallelamente adeguata, come è successo con il Safe Harbor.

Inoltre il Privacy Shield è stato adottato, come si ricorderà, non senza distinguo e perplessità. In particolare come è riferito anche della Autorizzazione in commento, lo Scudo Privacy verrà sottoposto a revisione annuale. In particolare criticità da appianare sono state evidenziate sia nel Parere n. 1/2016 (WP 238) adottato il 13 aprile 2016 dal Gruppo di lavoro istituito dall’art. 29 della direttiva 95/46/CE (di seguito “Gruppo ex Art. 29”) sul livello di protezione offerto dallo “Scudo” e il relativo progetto di decisione, nonché nella  Risoluzione del Parlamento europeo del 26 maggio 2016 sui flussi di dati transatlantici [2016/2727 (RSP)] e nelle osservazioni formulate dal Gruppo ex Art. 29, nello “Statement of the Article 29 Working Party” del 29 luglio 2016, in merito alle garanzie offerte e ad alcuni profili concernenti sia gli aspetti commerciali sia il tema dell’accesso e dell’uso da parte delle autorità pubbliche statunitensi dei dati personali trasferiti nell’ambito dello “Scudo” che potranno essere oggetto di ulteriori e successivi chiarimenti in occasione della c.d. First Annual Joint Review  prevista dalla citata decisione (cfr. punto 6 della decisione in materia di “Riesame periodico dell’accertamento di adeguatezza”).

Infatti, come è riportato anche nella Autorizzazione in commento la Commissione europea si è impegnata a sottoporre ad un monitoraggio continuo il funzionamento dello “Scudo” per verificare se gli Stati Uniti continuino a garantire un livello di protezione adeguato dei dati personali trasferiti in tale ambito dall’Unione verso organizzazioni presenti sul territorio statunitense ed entro un anno dalla data di notifica della decisione agli Stati membri e successivamente a cadenza annuale, nonché a seguito dell’entrata in vigore del  Regolamento (UE) 2016/679 del Parlamento e del Consiglio del 27 aprile 2016 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”,  la Commissione è tenuta a verificare la persistenza delle predette garanzie negli Stati Uniti in base a tutte le informazioni disponibili, comprese quelle ricevute nell’ambito dell’analisi annuale comune di cui agli allegati I, II e VI (art. 4 della decisione del 12 luglio 2016 n. 2016/1250).

Pertanto chi voglia effettuare trasferimenti sulla sola base del Privacy Shield dovrà seguire attentamente gli esiti delle verifiche operate dalla Commissione ed essere pronto, in caso di esito negativo, a bloccare il trasferimento o operare su una diversa base giuridica.

Il GDPR per le piccole (e piccolissime) imprese
07/07/2018

GDPR: le utilità gratuite per implementarlo
09/02/2018

Regolamento UE  2016/679: che fine fa il responsabile interno?
19/11/2017

La figura del DPO, nomina posizione e compiti
08/11/2017

Possibili effetti dell’estensione della data retention a 6 anni
12/09/2017

Eccezione per trattamenti a fini personali nel RGPD
08/06/2017