Indica un intervallo di date:
  • Dal Al
©credits

Quali alternative dopo la caduta dei Safe Harbors?

Ho scritto un articolo che è in corso di pubblicazione sul numero 6 del 2015 de “Il diritto dell’informazione e dell’informatica”, Giuffè editore. Tratta di model contract clauses e binding corporate rules, che rappresentano le alternative esistenti per il trasferimenti dei dati personali tra UE e Stati Uniti dopo il “crollo” degli accordi di Safe Harbors, invalidati dalla Corte di Giustizia. Qui trovate l’abstract dell’articolo (in inglese) e l’incipit:

The ECJ’s ruling Schrems v. Data Protection Commissioner has invalidated the EU-US Safe Harbor Agreement. The decision is the third step of the European Court of Justice – after the Digital Ireland and Costeja Gonzales cases – towards the acknowledgment of personal data protection as a fundamental right, pursuant to article 9 of the Treaty of Nice, and marks the rift between EU and US on the fair balance among surveillance systems and privacy laws. After the collapse of the Safe Harbor Agreement, binding corporate rules, for multinational organizations or groups of companies, and contract model clauses, in any other case, seem to be the only compliant solutions for overseas transfers of personal data. However, are these measures sufficient to face the improving data flows between the two sides of the Atlantic?

La decisione della Corte di Giustizia del 6 ottobre 2015, che ha invalidato gli accordi cc.dd. safe harbor (2000/520/EC), si presta a molteplici letture. È indiscutibile, però, che rapportarsi a tale pronuncia sulla scorta della mera analisi giuridica rischia di offrire uno scenario parziale, senza dare compiutamente atto delle complesse e intricate vicende che hanno accompagnato prima l’emanazione e poi l’invalidazione di tali accordi. Accordi, pare opportuno ricordarlo, che erano in corso di revisione e che, al momento della decisione dei giudici comunitari, stavano evidenziando una lettura della tematica differente tra le istituzioni europee e quelle statunitensi.

Prima di addentrarci nell’analisi di tali profili, alcuni dei quali saranno solo abbozzati in tale sede, considerando che verranno affrontati da altri saggi pubblicati nel presente numero monografico, giova ripercorrere brevemente la funzione di tali accordi nel contesto normativo del trasferimento dei dati personali al di fuori dello spazio europeo.

È noto che l’art. 25 della direttiva n. 46/95/CE prevede un generale divieto di trasferire dati personali al di fuori dell’Unione europea.

Questa regola ammette, però, una serie di eccezioni: il trasferimento è consentito nel caso in cui vi sia il consenso della persona cui i dati personali si riferiscono ovvero avvenga in esecuzione di misure contrattuali o precontrattuali o, ancora, per rispondere ad un interesse pubblico; in presenza di strumenti negoziali, validati dalla Commissione europea, che offrano garanzie di sicurezza; infine, in caso di decisioni di adeguatezza, ovvero decisioni della Commissione europea che attestino che un determinato Paese, non appartenente all’Unione europea o allo Spazio economico europeo, assicuri un livello di protezione “adeguato” ossia sia dotato di misure legislative, nonché tecniche e di sicurezza, che offrano un grado di tutela dei dati personali conforme agli standard comunitari[1].

Tra le decisioni di adeguatezza – che hanno interessato, tra gli altri, Israele, Svizzera, Australia e Canada – la più nota è quella del 26 luglio 2000 tra Unione europea e Stati Uniti, annullata dalla sentenza oggetto del presente scritto.

Le ipotesi, pertanto, in cui sussiste la legittimazione al trasferimento dei dati personali all’estero possono essere riassunte in due macroaree: una prima ipotesi in cui la legittimazione discende da un’intesa tra istituzioni pubbliche (la Commissione europea e singoli Stati terzi, non appartenenti all’Unione europea); l’altra ipotesi che trova fonte, invece, nell’autonomia privata, seppur integrata dalle prescrizioni legislative.

All’interno di questa seconda macroarea occorre poi distinguere l’ipotesi in cui sia lo stesso soggetto interessato a prestare il proprio consenso, “in maniera inequivocabile” al trasferimento del dato (art. 26, par. 1, lett. a) della direttiva), da quella in cui sia stata la Commissione europea a validare gli accordi interni alle imprese (nel caso delle corporate binding rules) ovvero a dettare le clausole da recepire nei contratti di esportazione dei dati personali (nel caso delle model contract clauses).

[1] G. Finocchiaro, Privacy e protezione dei dati personali. Disciplina e strumenti operativi, Bologna-Roma, 2012, p. 283, sottolinea correttamente che la legge italiana ha invertito l’approccio della direttiva comunitaria. Difatti, “la legge italiana vieta all’art. 45 il trasferimento all’estero se l’ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato e lo consente se ricorrono alcune specifiche circostanze individuate negli artt. 43 e 44 del Codice”, la direttiva, invece, “dispone che i dati personali possono essere trasferiti dall’Europa verso Paesi extraeuropei, se i Paesi di destinazione garantiscono un adeguato livello di sicurezza”.