Safe Harbor: cosa è accaduto e come cambierà l’attuale scenario
L’analisi, in versione integrale, dell’Avv. Valentina Frediani sulle pagine de ‘Il Documento Digitale’ n. IV – MMXV.
La Corte di Giustizia UE ha stabilito che la Decisione c.d. del “Safe Harbor”, norma di riferimento per ben 15 anni sui trasferimenti di dati personali dall’Unione Europea verso gli USA, non è più valida. Ma per comprendere meglio il cambiamento epocale che ci sta travolgendo indisturbato andiamo con ordine.
Come e quando i dati possono essere trasferiti al di fuori dell’UE?
Ai sensi dell’articolo 25, comma 1, della Direttiva 95/46/CE, il trasferimento di dati personali dall’Unione Europea verso Paesi non appartenenti all’UE o allo Spazio Economico Europeo (Norvegia, Islanda, Liechtenstein) è vietato. In deroga a tale divieto, il trasferimento verso Paesi terzi è consentito quando il Paese destinatario del trasferimento garantisce un livello di protezione “adeguato”.
L’adeguatezza viene decisa direttamente dalla Commissione UE attraverso una specifica Decisione ai sensi dell’articolo 25, comma 6, della Direttiva stessa. Sul sito web del Garante per la protezione dei dati italiano sono pubblicate le singole decisioni. Quando non risulta alcuna Decisione di adeguatezza, il trasferimento dall’Unione Europea verso Paesi Extra-UE è consentito:
– nei casi menzionati dall’articolo 26, comma 1, della Direttiva 95/46/CE, ovvero consenso della persona interessata, necessità del trasferimento ai fini di misure contrattuali/precontrattuali, interesse pubblico preminente, etc.;
– sulla base di strumenti contrattuali che offrano garanzie adeguate, secondo l’articolo 26, comma 2, della Direttiva 95/46/CE. Tali strumenti sono: le Clausole contrattuali standard (ovvero clausole indicate dalla stessa Commissione EU come clausole idonee a tutelare la riservatezza dei dati personali trasferiti solo se inserite nel contratto con il soggetto destinatario dei dati stabilito in un paese Extra-UE), e le BCR – Binding Corporate Rules (documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) al cui rispetto sono tenute tutte le società appartenenti ad uno stesso gruppo (corporate)).
In cosa consiste la decisione di adeguatezza dell’UE sul “Safe Harbor”?
I principi di “Approdo Sicuro”, Allegato I alla Decisione della Commissione Europea 00/520/CE, del 26 luglio 2000, individuati direttamente in un protocollo sviluppato dall’ US State Department, in collaborazione con il Parlamento europeo ed il Consiglio europeo, sono sostanzialmente sette regole e rispecchiano, su grandi linee, la direttiva Privacy.
Tra gli stessi si evidenzia, in primo luogo, il dovere di informativa e l’obbligatorietà del consenso (chiamandolo “Scelta”), al trattamento da parte del diretto interessato. Poi, il principio della facoltà di rifiuto dell’interessato alla comunicazione a terzi ed a nuovi trattamenti diversi dal primo. Ed ancora, il dovere di assicurare la sicurezza dei dati, ovvero le organizzazioni che si accostano al “Safe Harbor” devono garantire sia la protezione dei dati personali da perdita ed abusi, nonché da accesso, rivelazione, alterazione e distruzione non autorizzati, sia la possibilità agli interessati di accedere alle informazioni personali che li riguardano.
In sostanza, in relazione ai principi elencati, una volta che una società statunitense è certificata “Safe Harbor”, si ritiene automaticamente “adeguata” da parte dell’UE per quanto riguarda la conservazione ed il trattamento dei dati personali e sensibili provenienti dall’Europa.
Il Caso
Il Sig. Maximillian Schrems, cittadino austriaco ed utente di Facebook dal 2008, si rivolge al Garante per la protezione dei dati personali irlandese, il “Data Protection Commissioner”, per vedere tutelati i propri diritti relativamente al trasferimento dei suoi dati effettuato da Facebook verso gli USA. In particolare, il Sig. Schrems, riprendendo quanto sostenuto da Edward Snowden nel 2013 circa le attività dei servizi di intelligence USA, in ordine soprattutto al NSA – National Security Agency – ed al programma di controllo Prism, sostiene nel ricorso che gli USA non offrono l’adeguato livello di protezione dei dati personali richiesto dalla Direttiva 95/46/CE.
In specifico nel ricorso veniva ribadito che l’adeguatezza non è rinvenibile in riferimento alle attività di sorveglianza delle autorità pubbliche sui dati trasferiti.
Il Data Protection Commissioner respinge il ricorso basandosi sulla Decisione di adeguatezza della Commissione EU del 2000 relativa appunto ai principi “Safe Harbor” ribadendo sostanzialmente l’idoneità degli USA e della legislazione ivi presente ad essere considerati “adeguati” rispetto alle richieste della Direttiva 95/46/CE.
Il Sig. Maximillian Schrems vedendosi rigettato il ricorso propone appello nei confronti dell’Alta Corte irlandese la quale, sollevando una questione interpretativa, decide di coinvolgere la Corte di Giustizia UE – C-362/14 Maximillian Schrems vs. Data Protection Commissioner – chiamata quindi ad accertare l’adeguatezza della Decisione sul “Safe Harbor”, nonché l’esistenza del potere in capo ad una Autorità privacy nazionale di sospendere il trasferimento dei dati verso gli USA.
La decisione della Corte di Giustizia UE
Con la sentenza del 6 ottobre 2015 la Corte di Giustizia UE ha stabilito che l’esistenza della Decisione della Commissione UE sul trasferimento dei dati verso paesi Extra-UE non limita il potere decisionale dell’Autorità garante della privacy interna al paese membro della Unione Europea di limitare il trasferimento verso un paese che, per suo dire, non assicura un adeguato livello di protezione dei dati personali trasferiti. E ciò sulla base della Carta Fondamentale dei Diritti dell’Unione Europea come anche della stessa Direttiva 95/46/CE. In particolare, la Corte di Giustizia riconosce alle Autorità nazionali il potere di sovrintendere o valutare i trasferimenti di dati personali verso Paesi terzi extra UE anche se sono stati oggetto di una Decisione della Commissione UE.
Detto ciò, nella sentenza la Corte si sofferma poi sull’adeguatezza della Decisione sul “Safe Harbour” e sulla sua validità.
I Giudici concludono sulla invalidità della Decisione in quanto la stessa risulta inadeguata e poco corrispondente alle indicazioni rilevabili nella Direttiva 95/46/CE perché al tempo la Commissione non effettuò una verifica appropriata della corrispondenza delle regole agli adempimenti previsti dalla Direttiva suddetta, in quanto si limitò solo ad analizzare superficialmente quelli che risultano solo un insieme di principi relativi alla protezione dei dati ai quali le organizzazioni con sede negli Stati Uniti possono aderire su base volontaristica e non delle regole precise e definite.
2013: le 13 raccomandazioni correttive della Commissione UE
Nel 2013 la Commissione UE si era già soffermata sull’adeguatezza dei principi del “Safe Harbor” indicati nella Decisione di adeguatezza considerandola, già al tempo, come una Decisione poco corrispondente alle aspettative della Direttiva 95/46/CE. In conclusione dell’analisi, la stessa Commissione si era già espressa sul punto individuando ben 13 raccomandazioni correttive della Decisione, ovvero:
- le organizzazioni che accolgono i principi del “Safe Harbor” devono rendere trasparenti le loro politiche sulla privacy, come le politiche sulla privacy dei loro sub-fornitori. Le politiche sulla privacy devono essere indicate nel sito web dell’organizzazione e nel sito web del Dipartimento del Commercio devono essere segnalate le organizzazioni che non hanno sottoscritto l’accordo (raccomandazioni nn. da 1 a 4);
- devono essere sempre rese disponibili dalle organizzazioni risoluzioni alternative delle controversie (ADR) (raccomandazioni nn. da 5 a 7);
- devono essere effettuati dei controlli periodici e concreti sul rispetto effettivo delle politiche sulla privacy e, nel caso di non conformità o dubbi, deve essere informata l’autorità di protezione dei dati competente dell’UE (raccomandazioni nn. da 8 a 12);
- le organizzazioni devono indicare nelle loro politiche sulla privacy in quali casi la legge statunitense consente alle autorità pubbliche di raccogliere ed elaborare i dati trasferiti con l’accordo di “Safe Harbor” (raccomandazione n. 14);
- le autorità pubbliche devono ricorrere all’eccezione per la salvaguardia della sicurezza nazionale solo in misura strettamente necessaria e proporzionata (raccomandazione n. 13).
La Commissione aveva individuato anche un termine (estate del 2014) di adeguamento. Alla fine del termine la Commissione si era impegnata a riesaminare l’attualizzazione delle raccomandazioni, ma tutto ciò non è accaduto.
Si può dunque concludere che i rapporti di fiducia tra l’Europa e gli USA stanno attraversando una fase travagliata. È fondamentale che l’Unione Europea e il Governo degli Stati Uniti continuino ad assicurare metodi affidabili per trasferire i dati e risolvano ogni problematica riferita alla sicurezza nazionale.
Intanto, Facebook, ha deciso di acquisire il consenso dei propri utenti per il trasferimento dei dati in USA. Una strada ardua da intraprendere, ma necessaria in ragione del recentissimo intervento dell’Autorità Garante che, ufficialmente (a breve la pubblicazione in Gazzetta ufficiale) fa decadere gli accordi alla base dei principi dell’“approdo sicuro”.