Il caso Schrems e il trasferimento negli U.S.A. dei dati personali
Aggiornamento sul caso Safe Harbor, venerdí 6.11.2015 la Commissione Europea ha pubblicato una Comunicazione indirizzata al Parlamento e al Consiglio, nella quale si fa il punto sulla situazione relativa al trasferimento di dati personali dall’Europa verso uno Stato Terzo non offrente un adeguato livello di protezione dei dati. Nel caso Schrems la Corte si era occupata del trasferimento verso gli U.S.A dei dati raccolti da Facebook su territorio europeo, indicando chiaramente come restrizioni alla tutela dei dati personali debbano operare nel limite dello “stretto necessario”. In tal senso la Corte ha criticato la mancanza nella normativa americana di requisiti oggettivi nel delimitare l´accesso ai dati e il loro ulteriore uso a fini precisi, da parte delle autorità pubbliche statunitensi.
La Comunicazione della Commissione Europea e i metodi alternativi per il trasferimento dei dati nella pratica
Nella Comunicazione relativa all’aggiornamento sul caso Safe Harbor si ribadisce che la sentenza Schrems ha effetti immediati e che anche il Gruppo di lavoro ex. Articolo 29 (cioè quell´organismo consultivo e indipendente costituito da un rappresentante delle autorità di protezione dei dati personali designato da ciascun Stato membro, dal Garante europeo della protezione dei dati e da un rappresentante della Commissione, sulla base dell´art. 29 della direttiva 95/46) sollecita gli imprenditori coinvolti nel settore ad adottare qualsiasi misura legale e tecnica per mitigare i possibili rischi connessi al trasferimento dei dati agli USA; fino a quando un nuovo accordo “Safe Harbor” con maggiori garanzie si sarà concluso tra Europa e Stati Uniti (previsto per gennaio 2016).
La Comunicazione si concentra su metodi alternativi relativi al trasferimento dei dati verso gli Stati Uniti e menziona tre gruppi di possibili soluzioni che si possono adottare sin da subito:
Le tre soluzioni:
- soluzioni contrattuali basate sull´adozione delle clausole standard previste a livello europeo. In pratica il venditore online dovrebbe rinegoziare il proprio contratto con il fornitore di servizi, facendo in modo di inserire queste clausole, con le quali il prestatore si obbliga, su base contrattuale quindi, a mantenere un determinato livello di sicurezza nel trattare i dati raccolti in Europa, anche una volta trasferiti negli USA;
- una serie di norme vincolanti d´impresa (BCR ossia “Binding Corporate Rules”). Queste norme riguardano il trasferimento dei dati che avviene all´interno di una multinazionale, ad esempio. Poniamo quindi che vi sia una grossa multinazionale statunitense che abbia sede in Europa, dove raccoglie dei dati che trasferisce negli USA; tramite l´adozione di queste BCR l´impresa si obbliga a mantenere un determinato livello di sicurezza nel trattamento e protezione dei dati; indipendentemente dalla nazione nella quale si svolge il trattamento. Nella pratica i venditori online dovrebbero controllare che ogni prestatore di servizi del quale usufruiscono abbia adottato delle BCR conformi ai criteri di protezione dei dati europei.
- Una serie di deroghe che, fatte salve eventuali disposizioni contrarie a livello nazionale, possono esser richiamate per effettuare un trasferimento verso un Paese terzo ritenuto non sufficientemente allineato con i criteri europei. Tra queste eccezioni richiamiamo esplicitamente quella che più sembra adattabile al commercio online; ossia l’espresso consenso della persona interessata, manifestato in maniera inequivocabile (e anche in maniera previa, libera, informata ed esplicita). Per chi volesse saperne di più sulle altre deroghe rimandiamo all’art. 26 della direttiva 95/46/EC.
La Conclusione dopo l’aggiornamento sul caso Safe Harbor: quali metodi sono veramente utili per i venditori online?
Nell’attesa di un nuovo accordo “Safe Harbor” (e di nuove direttive del Garante della Privacy) i venditori online possono già da subito porre in essere delle soluzioni pratiche per combattere l´incertezza che si è creata sui trasferimenti dei dati. In un precedente articolo abbiamo fornito una prima roadmap per attivarsi e assicurarsi più tranquillità.
Quali metodi alternativi possiamo adottare per garantirci maggiore sicurezza
Infatti sia le clausole contrattuali europee sia le norme vincolanti d´impresa non sembrano essere soluzioni consigliabili per i venditori online. Infatti queste soluzioni si concentrano su accordi contrattuali, che però, seppur vincolanti tra le parti, non costituiscono alcuna concreta barriera nei confronti di possibili ingerenze; da parte delle autorità pubbliche. Quindi, nella pratica, non andrebbero in alcun modo ad influire in maniera positiva sul livello di sicurezza del trattamento dei dati e pertanto non lo renderebbero adeguato agli standard europei.
Come già menzionato nel precedente articolo, l’unica possibile soluzione concretamente implementabile è quella di richiedere un consenso specifico; questo ogniqualvolta sia probabile che avvenga un trasferimento dei dati verso gli Stati Uniti.
La Comunicazione della Commissione Europea ribadisce, in tema di consenso, come questo debba essere legittimamente raccolto per esser anche valido; e quindi costituire in concreto una legale deroga al regime dei trasferimenti dei dati sensibili verso Paesi terzi.
Un consenso può ritenersi legittimo se:
- informato (bisogna spiegare prima della raccolta del consenso, ad esempio in prossimità del checkbox e nella privacy policy, a quale trattamento sia indirizzato)
- libero (il cliente deve esser libero di dare o meno il proprio consenso)
- specifico per un determinato trattamento (bisogna riferire il consenso ad un trattamento specifico).
Predisponendo un checkbox non preselezionato per la raccolta del consenso si può rendere il trasferimento dei dati agli Usa legittimo.
Inoltre, facciamo presente che alcuni fornitori di servizi (ad esempio di newsletter o e-mail) garantiscono già soluzioni di business rispondenti alle garanzie richieste dall’Unione Europea; predisponendo, ad esempio, che i dati personali raccolti non siano trasferiti al di fuori dell’Unione stessa.
Elisa Ceciliati Legal Expert Italy, Trusted Shops GmbH.