Aggiornamento sul caso Safe Harbor: soluzioni per ecommerce

Leggimi

 Il caso Schrems e il trasferimento dei dati personali negli Stati Uniti

Aggiornamento sul caso Safe Harbor, venerdí 6.11.2015 la Commissione Europea ha pubblicato una Comunicazione indirizzata al Parlamento e al Consiglio, dove viene fatto il punto sulla situazione relativa al trasferimento di dati personali dall´Europa verso uno Stato Terzo non offrente un adeguato livello di protezione dei dati. Nel caso Schrems la Corte si era occupata del trasferimento verso gli U.S.A dei dati raccolti da Facebook su territorio europeo, indicando chiaramente come restrizioni alla tutela dei dati personali debbano operare nel limite dello “stretto necessario”. In tal senso la Corte ha criticato la mancanza nella normativa americana di requisiti oggettivi nel delimitare l´accesso ai dati e il loro ulteriore uso a fini precisi, da parte delle autorità pubbliche statunitensi.

La Comunicazione della Commissione Europea e i metodi alternativi per il trasferimento dei dati nella pratica

Nella Comunicazione viene ribadito che la sentenza Schrems ha effetti immediati e che anche il Gruppo di lavoro ex. Articolo 29 (cioè quell´organismo consultivo e indipendente costituito da un rappresentante delle autorità di protezione dei dati personali designato da ciascun Stato membro, dal Garante europeo della protezione dei dati e da un rappresentante della Commissione, sulla base dell´art. 29 della direttiva 95/46) sollecita gli imprenditori coinvolti nel settore ad adottare qualsiasi misura legale e tecnica per mitigare i possibili rischi connessi al trasferimento dei dati agli USA, fino a quando un nuovo accordo “Safe Harbor” con maggiori garanzie venga concluso tra Europa e Stati Uniti (previsto per gennaio 2016).

La Comunicazione si concentra su metodi alternativi di trasferimento dei dati verso gli Stati Uniti e menziona tre gruppi di possibili soluzioni adottabili da subito:

  • soluzioni contrattuali basate sull´adozione delle clausole standard previste a livello europeo. In pratica il venditore online dovrebbe rinegoziare il proprio contratto con il fornitore di servizi, facendo in modo di inserire queste clausole, con le quali il prestatore si obbliga, su base contrattuale quindi, a mantenere un determinato livello di sicurezza nel trattare i dati raccolti in Europa, anche una volta trasferiti negli USA;
  • una serie di norme vincolanti d´impresa (BCR ossia “Binding Corporate Rules”). Queste norme riguardano il trasferimento dei dati che avviene all´interno di una multinazionale, ad esempio. Poniamo quindi che vi sia una grossa multinazionale statunitense che abbia sede in Europa, dove raccoglie dei dati che vengono trasferiti al quartier generale negli USA: tramite l´adozione di queste BCR l´impresa si obbliga a mantenere un determinato livello di sicurezza nel trattamento e protezione dei dati, indipendentemente dalla nazione nel quale il trattamento viene svolto. Nella pratica i venditori online dovrebbero controllare che ogni prestatore di servizi del quale usufruiscono abbia adottato delle BCR conformi (o ritenuti tali) ai più stringenti criteri di protezione dei dati europei.
  • Una serie di deroghe che, fatte salve eventuali disposizioni contrarie a livello nazionale, possono esser richiamate per effettuare un trasferimento verso un Paese terzo ritenuto non sufficientemente allineato con i criteri europei. Tra queste eccezioni richiamiamo esplicitamente in questa sede quella che più sembra adattabile al commercio online, ossia l´espresso consenso della persona interessata, manifestato in maniera inequivocabile (e anche in maniera previa, libera, informata ed esplicita) per il trattamento previsto. Per chi volesse saperne di più sulle altre deroghe rimandiamo all´art. 26 della direttiva 95/46/EC.

Conclusione: quali metodi sono veramente utili per i venditori online.

Nell´attesa di un nuovo accordo “Safe Harbor” (e di nuove direttive del Garante della Privacy) i venditori online possono già da subito porre in essere delle soluzioni pratiche per combattere l´incertezza che si è creata sui trasferimenti dei dati. In un precedente articolo abbiamo fornito una prima roadmap per attivarsi e assicurarsi più tranquillità.

Qui vogliamo riflettere su quali metodi alternativi implementare per avere dei risultati concreti ed effettiva sicurezza.

Infatti sia le clausole contrattuali europee sia le norme vincolanti d´impresa non sembrano essere soluzioni consigliabili per i venditori online. Infatti queste soluzioni si concentrano su accordi contrattuali, che però, seppur vincolanti tra le parti, non costituiscono alcuna concreta sicura barriera nei confronti di possibili ingerenze da parte delle autorità pubbliche. Quindi, nella pratica, non andrebbero in alcun modo ad influire in maniera positiva sul livello di sicurezza del trattamento dei dati e pertanto non lo renderebbero adeguato ed in linea rispetto agli standard europei.

Come già menzionato nel precedente articolo, l´unica possibile soluzione concretamente implementabile è quella di richiedere un consenso specifico ogniqualvolta sia probabile un trasferimento dei dati verso gli Stati Uniti.

La Comunicazione della Commissione Europea ribadisce, in tema di consenso, come questo debba essere legittimamente raccolto per esser anche valido e quindi costituire in concreto una legale deroga al regime dei trasferimenti dei dati sensibili verso Paesi terzi.

Un consenso può ritenersi legittimo se:

  • informato (bisogna spiegare prima della raccolta del consenso, ad esempio in prossimità del checkbox e nella privacy policy, a quale trattamento sia indirizzato)
  • libero (il cliente deve esser libero di dare o meno il proprio consenso)
  • specifico per un determinato trattamento (bisogna riferire il consenso ad un trattamento specifico).

Predisponendo una checkbox non preselezionato per la raccolta del consenso relativamente ad un possibile trasferimento dei dati personali verso gli Stati Uniti si mette in essere un meccanismo tecnico che, se correttamente implementato, può rendere il trasferimento stesso legittimo allo stato delle cose.

Inoltre, come ultimo suggerimento, facciamo presente che alcuni fornitori di servizi (ad esempio di newsletter o servizi e-mail) garantiscono già da ora soluzioni di business rispondenti alle garanzie richieste nell´ Unione Europea, predisponendo, ad esempio, che i dati personali raccolti non vengano trasferiti al di fuori dell´Unione.

Elisa Ceciliati Legal Expert Italy, Trusted Shops GmbH.