Privacy: cosa succede dopo il caso Safe Harbor?
La nuova dimensione della privacy, che trae le sue origini dall’innovazione tecnologica e dal progresso delle comunicazioni elettroniche, non può autorizzare in maniera generalizzata il trasferimento di dati personali dall’Unione Europea verso gli USA senza che sia operata alcuna differenziazione, limitazione o eccezione in funzione dell’obiettivo perseguito e senza che siano fissati criteri oggettivi intesi a circoscrivere l’accesso delle autorità pubbliche ai dati e la loro successiva utilizzazione.
Il 6 ottobre 2015, come molti ormai sapranno, la Corte di Giustizia Europea ha dichiarato nullo l’Accordo “Safe Harbor”. Questo accordo consentiva alle società americane che richiedevano l’adesione al programma “Safe Harbor”, e soddisfacevano determinati requisiti di sicurezza, di poter trasferire dati personali raccolti nell´Unione Europea verso l’America senza bisogno di ulteriori formalità.
Gli USA sono carenti nella conservazione e gestione sicura dei dati; questo mina la privacy degli utenti
Con questa sentenza la Corte ha riconosciuto ufficialmente la carenza, negli Stati Uniti d’America, di un adeguato standard di sicurezza per la gestione e conservazione dei dati. Di fatto la Corte ha stabilito il blocco del meccanismo automatico di trasferimento dei dati verso gli USA da parte delle aziende operanti in Europa.
In che modo questa sentenza può influenzare i venditori online? E quali possono essere le prime cautele da utilizzare, in attesa di ulteriori sviluppi sulla vicenda?
Quali sono i servizi maggiormente colpiti nell’ottica di un venditore online?
La sentenza della Corte di Giustizia si riferiva ai dati raccolti da Facebook e successivamente trasferiti negli USA; tuttavia gli effetti dell’annullamento dell´Accordo “Safe Harbor” si ripercuoteranno, in via immediata, su tutti i fornitori di servizi.
Molti venditori online, più o meno consapevolmente, utilizzano quotidianamente dei servizi forniti da aziende (americane) che trasmettono dati verso gli USA.
Tre brevi esempi per comprendere quali servizi, rilevanti per i negozi online, possono essere coinvolti:
Newsletter:
Se il negozio online utilizza una struttura di outsourcing per ottimizzare il proprio servizio di newsletter, dovrà controllare se il proprio fornitore di servizio è un’azienda americana; o se comunque effettua trasferimenti dati verso gli Stati Uniti d’America (per esempio perché la sede centrale è negli USA).
Pulsanti di condivisione sui social media:
Chi non conosce i pulsanti di condivisione? (tipo Facebook, Twitter, Linkedin, Google +, ecc.). Bene, questi pulsanti, se non installati in maniera consona nel proprio sito, possono trasmettere dati automaticamente alle rispettive aziende. Infatti, se si è collegati al proprio account (facebook, twitter o altro), i dati che sono raccolti tramite i pulsanti installati nel sito web del negozio potranno venire ricondotti al proprio profilo (di facebook, twitter ecc.) e potranno essere trasferiti verso gli Stati Uniti. Anche per questi strumenti di condivisione bisognerebbe utilizzare dei meccanismi che subordinino la trasmissione dei dati ad un previo consenso espresso dell´utente.
Questo tipo di trasmissione è assimilabile al trasferimento dati che si effettua tramite cookie analitico e quindi sarebbe stata da considerare “problematica”; ancor prima della sentenza della Corte. È un dato di fatto, però, che le problematicità connesse all’uso dei pulsanti dei social media non siano ancora state considerate seriamente dai professionisti del settore; almeno in Italia. Sarà comunque importante, per i venditori online, monitorare le notizie a riguardo per esser pronti ad ogni evenienza.
Cookies analitici o di profilazione:
Alcuni di questi cookies sono estremamente diffusi nella pratica (ad esempio, per citare forse il più conosciuto: Google Analytics). Secondo i requisiti già previsti dalla legge (art. 122 comma 1 Codice della Privacy), per alcuni di questi cookies è già oggi necessario richiedere un previo consenso espresso all´utente tramite un banner informativo. Il Garante della Privacy ha individuato una serie di casi specifici, nei quali questo consenso è imprescindibile. La sentenza della Corte di Giustizia rende ancora più evidente la necessità di richiedere un consenso esplicito per l´utilizzo di questa tipologia di cookies. Sarà interessante vedere se un meccanismo di anonimizzazione dei dati sarà considerato come una possibile soluzione all’interno del nuovo accordo con gli USA. Tale anomizzazione sarebbe da utilizzare su suolo europeo prima del trasferimento stesso.
Conclusione:
Cosa possono fare i venditori online per premunirsi fino a quanto il Garante della Privacy fornirà delle concrete direttive?
Come accennato, si sta già da tempo lavorando ad un nuovo accordo con gli USA che garantisca maggiori tutele a protezione dei dati raccolti e trasmessi; e che dall’altro favorisca i rapporti commerciali tra Europa e USA stessa. Nelle prossime settimane sicuramente ci saranno ulteriori novità che potranno interessare anche i venditori online.
Chi si volesse comunque attivare per cercare di arginare l´insicurezza odierna relativa alla trasmissione dei dati personali, può seguire questi consigli:
– stilare una lista dei fornitori di servizi utilizzati nel negozio online, che trasferiscono i dati verso gli USA; così sarà possibile avere una panoramica sui servizi coinvolti tra quelli implementati nel proprio shop;
– richiedere per i servizi di cui sopra il previo consenso espresso esplicito ed informato dell’utente (criterio questo previsto dall´art. 43 comma 1 a) del Codice della Privacy, “Trasferimenti consentiti in Paesi terzi”);
– rimanere informati sulla vicenda e seguire prontamente le direttive del Garante della Privacy, non appena saranno rese note, secondo le modalità che verranno prefissate.
Elisa Ceciliati Legal Expert Italy, Trusted Shops GmbH.
