SEND15 | Protezione dei dati: che cosa significa e quale impatto ha la recente invalidazione dell’accordo Safe Harbour

#SEND15
PROTEZIONE DEI DATI: CHE COSA SIGNIFICA E QUALE
IMPATTO HA LA RECENTE INVALIDAZIONE
DELL'ACCORDO «SAFE-HARBOR»
Chiara Agostini, Avvocato

#SEND15un evento organizzato da
This document is the intellectual property of ContactLab and was created for demonstration purposes only. It may not be modified, organized or reutilized in any way without the express written permission of the rightful owner.
1. Il trasferimento dei dati verso Paesi terzi
1.1 La normativa: Direttiva 95/46/CE
2
Il trasferimento di dati personali dall’Unione Europea verso Paesi terzi è ammesso solo se il paese
in cui i dati sono trasferiti garantisce un «livello di protezione adeguato» (art. 25, comma 1).
L’adeguatezza della protezione è valutata prendendo in considerazione la natura dei dati trasferiti,
le finalità del trattamento, il paese di destinazione dei dati, le norme di diritto vigenti nel paese di
approdo, le misure di sicurezza osservate (art. 25, comma 2).
L’organo deputato a valutare se un Paese terzo garantisce o meno un livello di protezione dei dati
adeguato è la Commissione dell’Unione Europea (art. 25, comma 6)  un Paese che non
garantisce un adeguato livello di protezione è inserito nella cd. «Black List» (all’interno della quale
troviamo gli USA).

3
1.2 La normativa: il Codice Privacy
Trasferimenti ALL’INTERNO DELL’UE
Ammessi
«Le disposizioni del presente codice non
possono essere applicate in modo tale da
restringere o vietare la libera circolazione
dei dati personali fra gli Stati Membri
dell'Unione Europea» (art. 42 del Codice
della Privacy)
Trasferimenti AL DIFUORI DELL’UE
Ammessi solo a determinate
condizioni (artt. 43 e 44 del Codice della
Privacy)
Vietati quando l’ordinamento del paese
di destinazione non assicura un
«livello di tutela delle persone
adeguato» (art. 45 del Codice della
Privacy)

1.2 La normativa: il Codice Privacy (Segue I)
4
ART. 43
Il trasferimento dei dati verso un Paese non appartenente all’Unione Europea può avvenire soltanto:
previa acquisizione del consenso dell’interessato;
se necessario per:
l’esecuzione o la conclusione di un contratto o per l’adempimento di richieste precontrattuali;
la salvaguardia di un interesse pubblico rilevante;
la salvaguardia della vita o dell’incolumità fisica di un terzo o dell’interessato;
lo svolgimento di investigazioni difensive;
se effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi.

1.2 La normativa: il Codice Privacy (Segue II)
5
ART. 44
Il trasferimento di dati personali verso un Paese non appartenente all'Unione Europea è altresì
consentito quando è autorizzato dal Garante Privacy sulla base di adeguate garanzie per i diritti
dell'interessato:
individuate dal Garante Privacy;
individuate con decisione della Commissione Europea, con la quale tale autorità constata che un
Paese non appartenente all'Unione Europea garantisce un livello di protezione adeguato o che
alcune clausole contrattuali offrono garanzie adeguate al rispetto ai diritti dell’interessato.

1.3 Gli strumenti
6
Le clausole contrattuali tipo (cd. «Model Clauses»)
Binding Corporate Rules (BCR)
L’accordo «Safe-Harbour»
Solo per trasferimenti infragruppo, verso qualunque
paese extraeuropeo si trovino le società facenti parte
del gruppo.
Per trasferimenti in qualsiasi paese
extraeuropeo
Solo per trasferimenti verso gli Stati Uniti

2. L’accordo di Safe-Harbor
2.1 Inquadramento
7
L’«accordo di Safe-Harbor», o «approdo sicuro», costituisce un insieme di principi elaborati dal
Dipartimento del Commercio degli Stati Uniti (US Department of Commerce) posti a garanzia del
trattamento dei dati personali trasferiti negli Stati Uniti;
Sono più di 4500 le società ed organizzazioni americane che trasferiscono dati utilizzando il Safe-
Harbor (tra cui Facebook, Apple, Google, Amazon, Microsoft);
Per poter usufruire dei principi dell’accordo è necessario aderivi: tale adesione è del tutto facoltativa.

2.2 La decisione della Commissione
8
Con la decisione n. 2000/520/CE la Commissione dell’Unione Europea ha previsto che i principi
dell’«accordo di Safe-Harbor» garantiscono un «livello di protezione adeguato» dei dati personali
trasferiti dalla Comunità Europea a società ed organizzazioni aventi sede negli USA:
il trasferimento dei dati, dall’Unione Europea verso gli Stati Uniti, effettuato utilizzando l’accordo di
Safe-Harbor era considerato sicuro.

2.3 Il caso Schrems
9
Lo studente universitario austriaco Max Schrems ha
presentato una denuncia alle autorità giurisdizionali
irlandesi al fine di far accertare la presunta illiceità del
trasferimento dei suoi dati personali, effettuato dal noto
social network Facebook, dalla sua filiale irlandese agli Stati
Uniti, sulla base dell’accordo di Safe-Harbor. A fondamento
di tale denuncia, Max Schrems lamentava il facile accesso
ai suoi dati e, in generale, un’attività di sorveglianza di
massa dei cittadini europei e di accesso del tutto
indiscriminato ai loro dati in forma continuativa e
sistematica da parte delle pubbliche autorità americane
(tra cui NSA e FBI).
Nella foto, Max Schrems

In primo grado, l’autorità adita respingeva il ricorso, da un lato
ritenendo che non vi fosse prova che i dati personali del
ricorrente fossero stati oggetto di accesso da parte delle
autorità pubbliche statunitensi, dall’altro osservando che
l’adeguatezza del trasferimento dei dati verso gli Stati Uniti
fosse stata oggetto della Decisione 2000/520/CE. Il Sig.
Schrems impugnava il provvedimento innanzi alla High Court
of Ireland (Alta Corte di Giustizia irlandese), la quale decideva
di rimettere la questione alla CGE, al fine di verificare se la
Decisione 2000/520/CE potesse avere come effetto di
impedire ad un’autorità nazionale di pronunciarsi su un ricorso
concernente l’inadeguatezza del livello di protezione
assicurato da un Paese terzo e, se necessario, di bloccare il
trasferimento dei dati verso tale paese. Con sentenza del
6.10.2015, la CGE ha dichiarato l’invalidità della decisione n.
2000/520/CE, con la quale la Commissione aveva rilevato
l’adeguatezza dei “Principi di approdo sicuro dei dati negli Stati
Uniti” (c.d. “Safe-Harbor”).
2.4 L’invalidazione
10

La CGE, con sentenza del 6 ottobre 2015, ha precisato che la decisione n. 2000/520/CE della
Commissione Europea non impedisce alle autorità dei singoli Stati Membri, investite di un
ricorso, di esaminare se un trasferimento di dati personali da uno Stato Membro verso uno
Stato Extra-UE rispetti i requisiti di legge, garantendo un adeguato livello di protezione.
Spetta sempre e comunque solo alla CGE il compito di decidere se una decisione della
Commissione Europea, come qualsiasi altro suo atto, sia o meno valido.
2.4 L’invalidazione (Segue I)
11

Ma cosa accade di diverso in America rispetto
all’Europa?
La legge attribuisce alla Nsa (i “noti” servizi
segreti) poteri di ingerenza molto ampli volti
ad un controllo sistematico ed indiscriminato
dei dati contenuti nei database conservati
presso server nazionali in presenza di un
potenziale rischio per la sicurezza nazionale.
2.4 L’invalidazione (Segue II)
12

Venuta meno, dunque, la decisione della Commissione che presupponeva un livello di protezione
adeguato del trattamento dei dati dei cittadini europei trasferiti negli USA, rimangono applicabili per il
trasferimento dei dati verso Paesi terzi:
le disposizioni dell’art. 25 della Direttiva 95/46/CE, sulla scorta delle quali sono gli Stati Membri a
dover valutare se il Paese terzo garantisca un livello di protezione adeguato, avendo riguardo in
particolare alla natura dei dati, alle finalità dei trattamenti previsti, al paese d'origine ed al paese di
destinazione finale, alle norme di diritto, generali o settoriali, vigenti nel paese terzo di cui trattasi,
nonché alle regole professionali e alle misure di sicurezza ivi osservate;
gli strumenti alternativi all’accordo di Safe-Harbor.
3. Le possibili alternative per trasferire i dati negli USA
3.1 Il quadro generale
13

3. Le possibili alternative per trasferire i dati negli USA
3.2 La descrizione degli strumenti
14
Model Clauses
Binding Corporate Rules, «BCR»
Consenso dell’interessato al trasferimento
esecuzione di obblighi derivanti da un contratto, conclusione di un contratto, adempimento a
specifiche richieste dell’interessato prima della conclusione del contratto
Le altre ipotesi previste dall’art. 43 Codice Privacy
- LA STRATEGIA PIÙ ADATTA DA ADOTTARE PER IL TRASFERIMENTO VA VALUTATA CASO PER CASO -

4. Safe-Harbor 2.0
15
Secondo il Presidente del Garante della Privacy italiano Antonello Soro, è assolutamente
necessario un nuovo accordo di «approdo sicuro» con gli Stati Uniti, del quale i Garanti europei
per la protezione dei dati stanno discutendo già in queste settimane.
La Commissione ha, nel corso degli anni, periodicamente approntato report sul funzionamento
dell’accordo di Safe-Harbor tra UE e Stati Uniti nei quali esprimeva giudizi negativi sul livello di
protezione dei dati da parte dell’ordinamento americano e auspicava già da tempo la revisione
dell'accordo: nonostante ciò, come spiega il Presidente Soro, «non si è mai fatto nulla in
concreto per rimediare».
Secondo il Presidente Soro, il nuovo Safe-Harbor si inserirà in un contesto diverso, in cui «i
tempi possono dirsi cambiati e l'UE ha maggiore consapevolezza del valore della privacy, ormai
stabilmente inserito nella Carta fondamentale dei diritti europei».

5. L’adeguamento delle model clauses
16
Secondo il Presidente del Garante della Privacy italiano, Antonello Soro, la Commissione
dovrebbe attivarsi per revisionare ed eventualmente aggiornare gli altri strumenti di
trasferimento dei dati e, in particolare, le decisioni in materia di model clauses, tenendo in
considerazione la normativa americana in tema di pubblica sicurezza e i trattamenti di dati
dei cittadini europei che ne conseguono.

6. Il nuovo regolamento UE sulla protezione dei dati
17
Dopo anni di consultazioni, l'Unione Europea sembra finalmente pronta ad approvare il
Regolamento sulla privacy che sostituirà la Direttiva del 95/46/CE.
La necessità è quella di adattare il quadro normativo attuale alle sfide poste dalla rapida
evoluzione delle nuove tecnologie (in particolare on-line) e dalla crescente globalizzazione, pur
mantenendo la neutralità tecnologica del quadro giuridico.
Obiettivi: riduzione della frammentazione giuridica tra vari Paesi, maggiore certezza giuridica per i
responsabili del trattamento dei dati e dei cittadini, riduzione degli oneri amministrativi, attuazione
coerente della protezione dei dati nell’Unione Europea, effettivo esercizio da parte dei privati del
diritto alla protezione dei dati personali nell’Unione Europea, controllo e applicazione efficaci della
normativa in materia di protezione dei dati.

Tipizzazione degli strumenti:
Trasferimento previa «decisione di adeguatezza» (art 41): Il trasferimento è ammesso se la
Commissione ha deciso che il Paese terzo, o un territorio o settore di trattamento all’interno del
Paese terzo, o l’organizzazione internazionale in questione, garantisce un livello di protezione
adeguato. In tal caso il trasferimento non necessita di ulteriori autorizzazioni. Nel valutare
l’adeguatezza del livello di protezione, occorre tenere in considerazione lo stato di diritto, le
legislazioni (generale e settoriale), le regole professionali, le misure di sicurezza, i diritti effettivi
azionabili in sede amministrativa/giudiziaria, dello Stato di destinazione dei dati.
Trasferimento in presenza di «garanzie adeguate» (art. 42): Se la Commissione non ha preso
alcuna decisione ai sensi dell’articolo 41, il titolare o il responsabile del trattamento possono
trasferire dati personali verso un Paese terzo o un’organizzazione internazionale solo se ha offerto
garanzie adeguate per la protezione dei dati personali.
5. Il nuovo regolamento UE sulla protezione dei dati (Segue I)
18

Costituiscono garanzie adeguate ai sensi dell’art. 42 della bozza di Regolamento:
le norme vincolanti d’impresa (ex «BCR»);
le clausole contrattuali tipo adottate dalla Commissione o da un’autorità di controllo e dichiarate
valide dalla Commissione («Model Clauses»);
le clausole contrattuali utilizzate per il trasferimento tra il titolare o il responsabile del trattamento e il
destinatario dei dati, autorizzate da un’autorità di controllo.
5. Il nuovo regolamento UE sulla protezione dei dati (Segue II)
19

In mancanza di una decisione di adeguatezza o di garanzie adeguate, il trasferimento verso un Paese
terzo è ammesso solo:
alle condizioni già previste dall’art. 43 del Codice Privacy (consenso interessato, esecuzione
contratto o misure precontrattuali, conclusione di un contratto, motivi di interesse pubblico
rilevante ecc..);
quando sia necessario per il perseguimento dei legittimi interessi, che non possano definirsi
frequenti o ingenti, e qualora il titolare o il responsabile del trattamento abbiano offerto garanzie
adeguate per la protezione dei dati personali.
5. Il nuovo regolamento UE sulla protezione dei dati (Segue III)
20

Linee Guida Pratiche finali
21
Domandati: «la mia società trasferisce dati al difuori dell’Unione Europea?»
Se si, «in quale Paese?»
Se trasferisci dati negli Stati Uniti, «quale meccanismo utilizzi per il trasferimento?»
Analizza il flusso dei tuoi dati: la tipologia, la natura dei dati e l’importanza del trasferimento dei
dati per la tua società (infragruppo, cloud). Non dimenticare di considerare anche i fornitori e i
venditori di cui tratti i dati.
Individua la Tua posizione nel processo di trasferimento dei dati: sei Titolare o Responsabile?
STAY UPDATED!

SEND
è un evento
organizzato da
GRAZIE

SEND15 | Protezione dei dati: che cosa significa e quale impatto ha la recente invalidazione dell’accordo Safe Harbour

Recommended

Recommended

More Related Content

Similar to SEND15 | Protezione dei dati: che cosa significa e quale impatto ha la recente invalidazione dell’accordo Safe Harbour

Similar to SEND15 | Protezione dei dati: che cosa significa e quale impatto ha la recente invalidazione dell’accordo Safe Harbour (20)

More from Contactlab

More from Contactlab (20)

SEND15 | Protezione dei dati: che cosa significa e quale impatto ha la recente invalidazione dell’accordo Safe Harbour