Consigli pratici dopo il caso Safe Harbor

Leggimi

La nuova dimensione della privacy, che trae le sue origini dall'innovazione tecnologica e dal progresso delle comunicazioni elettroniche, non può autorizzare in maniera generalizzata il trasferimento di dati personali dall’Unione Europea verso gli Stati Uniti senza che sia operata alcuna differenziazione, limitazione o eccezione in funzione dell’obiettivo perseguito e senza che siano fissati criteri oggettivi intesi a circoscrivere l’accesso delle autorità pubbliche ai dati e la loro successiva utilizzazione.

Il 6 ottobre 2015, come molti ormai sapranno, la Corte di Giustizia Europea ha dichiarato nullo l´Accordo “Safe Harbor”. Questo accordo consentiva alle società americane che richiedevano l´adesione al programma “Safe Harbor”, e soddisfacevano determinati requisiti di sicurezza, di poter trasferire dati personali raccolti nell´Unione Europea verso gli Stati Uniti senza bisogno di ulteriori formalità.

Con questa sentenza la Corte ha riconosciuto ufficialmente la carenza, negli Stati Uniti, di un adeguato standard di sicurezza per la gestione e conservazione dei dati. Di fatto la Corte ha stabilito, con effetti immediati, il blocco del meccanismo automatico di trasferimento dei dati verso gli USA da parte delle aziende americane operanti in Europa.

In che modo questa sentenza può influenzare i venditori online e quali possono essere le prime cautele da utilizzare, in attesa di ulteriori sviluppi sulla vicenda?

Quali sono i servizi maggiormente colpiti nell´ottica di un venditore online?

Anche se la sentenza della Corte di Giustizia si riferiva, nel caso concreto, al trasferimento verso gli Stati Uniti dei dati raccolti da Facebook in Europa, gli effetti dell´annullamento dell´Accordo “Safe Harbor” si ripercuoteranno, in via immediata, su tutti i fornitori di servizi che raccolgono dati in Europa trasferendoli poi negli Stati Uniti.

Molti venditori online, più o meno consapevolmente, utilizzano quotidianamente dei servizi forniti da aziende (americane) che trasmettono dati verso gli Stati Uniti. Qui di seguito indichiamo solo tre brevi esempi che potranno aiutare a capire quali servizi, rilevanti per i negozi online, possono essere coinvolti:

  • Newsletter. Se il negozio online utilizza una struttura di outsourcing per ottimizzare il proprio servizio di newsletter, dovrà controllare se il proprio fornitore di servizio è un´azienda americana o comunque un´azienda che probabilmente effettua trasferimenti di dati verso gli Stati Uniti (per esempio perché ha sede centrale negli USA).
  • Pulsanti di condivisione sui social media. Chi non conosce i pulsanti di condivisione? (tipo Facebook, Twitter, Linkedin, Google +, ecc.). Bene, questi pulsanti, se non installati in maniera consona nel proprio sito, possono trasmettere dati automaticamente alle rispettive aziende. Infatti, se si è collegati al proprio account (in facebook, twitter o quant´altro), i dati raccolti tramite i pulsanti installati nel sito web del negozio potranno venire ricondotti al proprio profilo (di facebook, twitter ecc.) e potranno essere trasferiti verso gli Stati Uniti. Anche per questi strumenti di condivisione bisognerebbe utilizzare dei meccanismi che subordinino la trasmissione dei dati ad un previo consenso espresso dell´utente. Questo tipo di trasmissione è, per intenderci, assimilabile al trasferimento dei dati che si effettua tramite l´utilizzo di un cookie analitico e quindi sarebbe stata da considerare “problematica” ancor prima della sentenza della Corte. È un dato di fatto, però, che le problematicità connesse all´uso dei pulsanti dei social media (almeno in Italia) non sono ancora state prese seriamente in considerazione dai professionisti del settore. Sarà comunque importante, per i venditori online, monitorare le notizie a riguardo per esser pronti ad ogni evenienza.
  • Cookies analitici o di profilazione. Alcuni di questi cookies sono estremamente diffusi nella pratica (ad esempio, per citare forse il più conosciuto: Google Analytics). Secondo i requisiti già previsti dalla legge (art. 122 comma 1 Codice della Privacy), per alcuni di questi cookies è già oggi necessario richiedere un previo consenso espresso all´utente tramite un banner informativo. Il Garante della Privacy ha individuato una serie di casi specifici, nei quali questo consenso è imprescindibile. La sentenza della Corte di Giustizia rende ancora più evidente la necessità di richiedere un consenso esplicito per l´utilizzo di questa tipologia di cookies. In particolar modo sarà interessante vedere se un meccanismo di anonimizzazione dei dati, da utilizzare su suolo europeo prima del trasferimento stesso, verrà menzionato nel nuovo accordo con gli Stati Uniti (accordo al quale si sta lavorando ormai da tempo e che dopo la sentenza è diventato ancora più urgente), come una delle possibili soluzioni per la questione del trasferimento dei dati oltreoceano.

Conclusione: cosa possono fare i venditori online per premunirsi fino a quanto il Garante della Privacy fornirà delle concrete direttive?

Come accennato, si sta già da tempo lavorando ad un nuovo accordo con gli Stati Uniti che garantisca da un lato maggiori tutele a protezione dei dati raccolti e trasmessi agli USA, e dall´altro favorisca i rapporti commerciali tra Europa e Stati Uniti. Nelle prossime settimane sicuramente ci saranno ulteriori novità che potranno interessare anche i venditori online.

Chi si volesse comunque attivare per cercare di arginare l´insicurezza odierna relativa alla trasmissione dei dati personali, può seguire questi consigli:

- stilare una lista dei fornitori di servizi utilizzati nel negozio online, che trasferiscono i dati verso gli USA, in maniera da avere una panoramica su quali siano i servizi coinvolti implementati nel proprio shop;

- richiedere per i servizi di cui sopra il previo consenso espresso esplicito ed informato dell´utente (criterio questo previsto dall´art. 43 comma 1 a) del Codice della Privacy, “Trasferimenti consentiti in Paesi terzi”);

- rimanere informati sulla vicenda e seguire prontamente le direttive del Garante della Privacy, non appena saranno rese note, secondo le modalità che verranno prefissate.

 

Elisa Ceciliati Legal Expert Italy, Trusted Shops GmbH.