Safe Harbour invalidato. Cosa devono fare le aziende oggi per trasferire correttamente i dati personali in USA?
A un mese dalla pubblicazione della sentenza della Corte Europea sul caso Maximilian Schrems, con cui i giudici hanno invalidato la decisione della Commissione che aveva attestato che gli Stati Uniti garantiscono un adeguato livello di protezione dei dati personali trasferiti (cosiddetto accordo Approdo Sicuro – Safe Harbour), la Commissione europea emana le sue linee guida e anche il Garante Italiano si pronuncia in merito.
Si ricorda che...
Ricordiamo che secondo la Direttiva 95/46/CE sul trattamento dei dati personali, il trasferimento di tali dati verso un paese terzo è ammesso, in linea di principio, solo se il paese terzo di cui trattasi garantisce per questi dati un adeguato livello di protezione (art. 25, comma 6, Direttiva n. 95/46/CE). Sempre secondo la Direttiva, la Commissione può constatare che un paese terzo, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, garantisce un livello di protezione adeguato. Inoltre, la direttiva prevede che ogni Stato membro designi una o più autorità pubbliche incaricate di sorvegliare l’applicazione nel suo territorio delle disposizioni di attuazione della direttiva adottate dagli Stati membri («autorità nazionali di controllo»).
Nel 2000, la Commissione europea, in virtù di quanto concesso dalla direttiva n.46, ha ritenuto che gli Stati Uniti garantissero un adeguato regime di tutela dei dati trasferiti, creando il cosiddetto programma di approdo sicuro o Safe Harbour. Secondo questo programma, le imprese americane che trasferiscono dati di soggetti europei negli USA potevano volontariamente aderirvi, rispettando alcuni principi cardine e fornendo adeguate garanzie contro i rischi di smarrimento dei dati. Ricevuta la certificazione, l’impresa aderente doveva procedere al suo rinnovo annualmente. Anche il Garante Italiano, a un anno dalla decisione della Commissione, si era adeguato, autorizzando, per le imprese partecipanti al Safe Harbour, il trasferimento dei dati personali in USA.
La decisione della CGUE
Il 6 ottobre scorso, la CGUE, con la sua decisione, ha invalidato il Safe Harbour, ritenendo che la Commissione non avesse proceduto ad effettuare controlli tangibili, al fine di verificare l’adeguatezza del livello di protezione dei dati personali negli USA e ritenendo altresì che la Commissione, autorizzando il trasferimento dei dati in USA secondo il programma Safe Harbour, avesse limitato, senza averne competenza, i poteri delle autorità nazionali di controllo. A tal proposito, la Corte ha invalidato il programma e le autorizzazioni basate sul Safe Harbour. La Commissione Europea è attualmente al lavoro per garantire massima sicurezza nel trasferimento dei dati e sopperire alle carenze normative che la decisione della Corte ha comportato. La stessa Commissione ha recentemente pubblicato le sue linee guida in merito, ricordando alle imprese, titolari del trattamento, le soluzioni alternative al trasferimento dei dati nei paesi extra UE, già previste, peraltro, dalla Direttiva n.46:
- Clausole contrattuali standard: si incorpora il testo di tali clausole nel contratto utilizzato per il trasferimento dei dati, le clausole contrattuali devono prevedere obblighi assunti dall’impresa in materia, come ad esempio l’impiego di misure di sicurezza e informative adeguate per l’interessato (sinora la Commissione ha adottato 4 decisioni in materia);
- Binding Corporate Rules: si tratta di un documento, utilizzato dalle società a carattere multinazionale che possono, in tal modo, trasferire liberamente i dati personali, tra le società appartenenti al medesimo gruppo. Tale documento contiene una serie di regole che fissano dei principi vincolanti a cui sono tenute tutte le società appartenenti allo stesso gruppo. Tale documento deve essere approvato dalle autorità garanti, l’approvazione prevede due fasi, una a livello europeo e una nazionale.
- Consenso libero dell’interessato espresso in modo inequivocabile.
Anche il Garante Italiano si è uniformato alla decisione della Corte Europea e, in un atto ufficiale, del 6 novembre ha invalidato anche per l’Italia l’autorizzazione con cui la Commissione Europea aveva dato il suo bene placet al trasferimento dei dati in Usa, in base al Safe Harbour.
Pertanto, in attesa delle prossime decisioni in sede europea, attualmente, in questa fase transitoria, per poter trasferire i dati personali nel territorio degli Sati Uniti, le multinazionali, le aziende italiane, le organizzazioni dovranno avvalersi degli altri strumenti previsti dal Codice Privacy di cui agli artt. 43 e 44 (clausole standard, BCR, consenso dell’interessato).