Il Safe Harbor diventa la Pearl Harbor di Facebook

Da 15 anni a questa parte un’azienda europea aveva sostanzialmente tre modi per trasferire verso gli Stati Uniti per fini commerciali dati personali senza ledere le garanzie e prerogative dei soggetti interessati: l’adozione di clausole contrattuali standard, l’implementazione nella propria multinazionale delle corporate binding rules oppure l’adesione al c.d. Safe-Harbor.

Oggi, con la decisione della Corte di Giustizia Europea (Causa C-362/14[1]), quest’ultimo strumento non è più idoneo a tutelare i diritti (fondamentali) dei cittadini europei e le aziende nostrane che finora ne facevano uso dovranno il prima possibile riconvertire le proprie procedure e i propri rapporti con gli importatori nordamericani sulla base degli altri due strumenti residuali sopra accennati.

Il caso Schrems vs. Facebook.

Tutto ha origine dal recente (e celebre) caso dello studente austriaco Maximilian Schrems che nel 2011 si rivolge a Facebook chiedendo ai sensi della normativa europea che gli venga fornita copia di tutti i suoi dati personali trattati dal social network. Egli scopre così che il colosso californiano detiene nel territorio degli USA una enorme mole di informazioni che lo riguardano, tra cui suoi dati personali seppur un tempo cancellati dallo stesso Schrems.

La questione prende quindi una piega diversa e viene coinvolto in un primo momento il Garante privacy irlandese affinché, anche alla luce delle rivelazioni di Edward Snowden che a quei tempi gettarono un luce sinistra sull’illecita attività dei servizi di intelligence dell’NSA, chiarisca se il trattamento dei dati, e in particolare la loro conservazione da parte di Facebook, sia o meno legittima.

Un primo round viene quindi vinto dal social network. Il Garante, infatti, sulla scorta del fatto che quest’ultimo aderisce al Safe Harbor, riconosce la legittimità del trattamento dei dati di Schrems.

Ma il colpo finale lo mette a segno lo studente allorché, dopo un articolato iter giudiziario, la Corte di Giustizia dell’Unione Europea, con decisione del 6 ottobre 2015 (in nota 1), anche sulla base delle dichiarazioni di Snowden, riconosce che l’adesione al Safe Harbor non è affatto sufficiente per legittimare il trattamento dei dati personali dei cittadini europei da parte di imprese nordamericane e decreta l’invalidità della decisione del 26 luglio 2000 che lo aveva riconosciuto[2].

Ma cos’è il Safe Harbor?

Il Safe-Harbor (o più correttamente, i Safe Harbour Privacy Principles) è un set di principi elaborati dallo US Department of Commerce e condivisi con la Commissione europea il cui rispetto da parte di soggetti stabiliti negli Stati Uniti rendeva legittimo il trasferimento e trattamento in quel paese di dati personali di cittadini europei.

Il facile funzionamento del Safe Harbor lo ha reso lo strumento più utilizzato nell’ambito dei trasferimenti di dati oltreoceano. Esso infatti, nella stragrande maggioranza dei casi, altro non è che una semplice autocertificazione annuale da parte del soggetto importatore con cui dichiara di rispettare i principi fissati dello USDC affidandosi ai controlli compiuti dalla Federal Trade Commission e dal Department of Transportation i quali, però, intervengono solo a seguito dell’iniziativa di privati cui spetta il compito di denunciare le violazioni del protocollo del Safe Harbor da parte di imprese concorrenti sulla base dell’ingiusto vantaggio che tale violazione darebbe loro.

Si tratta quindi di un meccanismo di controllo rimesso sostanzialmente alla gestione e verifica su impulso del settore privato sulla base dei principi di unfair competition e che, forse proprio per tale ragione, non ha mai dato buona prova di sé[3].

Le conseguenze della decisione della Corte di Giustizia UE.

Occorre sottolineare che la decisione qui in commento non decreta l’illegittimità ipso facto di tutti i trattamenti di dati personali di cittadini europei compiuti da aziende statunitensi nel loro territorio. Essa tuttavia stabilisce che la mera adesione al Safe Harbor non è condizione sufficiente per decretare la legittimità di tali trattamenti. Potranno invece le autorità nazionali europee, se così richieste volta per volta dai propri cittadini, compiere verifiche ad hoc per accertare la tenuta delle garanzie costituzionali nel caso di trasferimenti di dati personali all’estero.

Per il momento, la stessa Commissione europea ha chiesto prudenza affinché venga garantita una certa continuità nei rapporti e flussi transfrontalieri di dati in attesa che, auspicabilmente, si formalizzi un nuovo accordo USA-UE o entri in vigore l’atteso Nuovo Regolamento Privacy[4].

Le alternative disponibili.

In attesa che le relazioni internazionali o gli iter normativi europei facciano il loro corso, non può escludersi che qualche cittadino europeo determinato tanto quanto il Sig. Schrems non avvii una nuova battaglia contro qualche impresa che compie trattamenti negli USA non più coperti dallo scudo del Safe Harbor.

Ebbene, come si accennava all’inizio di questo contributo, esistono altri strumenti già collaudati per legittimare il trasferimento dei dati verso paesi a “rischio privacy”, senz’altro di più difficile implementazione rispetto al Safe Harbor, ma senza dubbio più efficaci.

Innanzi tutto, l’esportatore europeo di dati personali e l’importatore statunitense possono sottoscrivere tra loro le c.d. clausole standard. Si tratta di set di clausole contrattuali predisposte dalla Commissione europea[5] che consentono di trasporre in obblighi di natura contrattuale a carico dell’importatore ciò che in Europa è un dovere di legge. La comodità delle clausole standard risiede nella grande adattabilità del loro contenuto alle concrete esigenze delle parti nonché il fatto che, una volta definito il testo, altro non è necessario che la loro reciproca sottoscrizione (e conservazione in caso di richiesta dell’autorità).

Esse tuttavia mal si adattano nel caso in cui i rapporti tra esportatore e importatore si inquadrino in un più ampio e articolato reticolo di soggetti giuridici diversi, come può essere quello delle multinazionali, caratterizzate da continui mutamenti delle persone fisiche e giuridiche coinvolte nelle operazioni di trattamento, non fosse altro per le frequenti operazioni straordinarie cui sono soggette le società del gruppo.

In tali ipotesi, più adatto è lo strumento delle c.d. binding corporate rules (BCR) ovvero le policy di condotta di natura autoregolamentare e pattizia rivolte a tutte le società di un gruppo (mutevoli nel tempo) che dispongono procedure e garanzie nel rispetto dei principi fondamentali di protezione dei dati personali esistenti a livello comunitario.

Sotto l’ombrello delle BCR, una multinazionale non solo ha il vantaggio di monitorare facilmente la propria struttura in ordine al trattamento dei dati (e ciò è senz’altro utile in termini di compliance, ma anche di consapevolezza dei fini e processi aziendali), ma può operare su più mercati e con strutture flessibili e in continua mutazione senza dover, volta per volta, ridiscutere i termini e le procedure di trattamento dei dati in paesi extra UE.

A fronte di tale indubbio vantaggio, le BCR scontano il fatto che l’iter di definizione e autorizzazione da parte dell’autorità europea è lungo e articolato (esso infatti implica quantomeno una due diligence su tutte le società del gruppo e un coordinamento centralizzato che tenga i rapporti con l’autorità garante preposta).

13 novembre 2015

Francesco Rampone f.rampone@lascalaw.com

 

[1] Vedi comunicato stampa n. 117/15 in http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117it.pdf. Vedi decisione del 6 ottobre 2015 nella causa C-362/15 in http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d2dc30dde33ff4457d8444d299f3adf4a2bf6c52.e34KaxiLc3qMb40Rch0SaxuRc3b0?text=&docid=169195&pageIndex=0&doclang=IT&mode=req&dir=&occ=first&part=1&cid=700751.

[2] Decisione della commissione istitutiva del Safe Harbor del 26 luglio 2000, 2000/520/EC, in http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32000D0520:EN:HTML.

[3] Il che, a più riprese, è stato sottolineato da vari organi europei. Si veda per tutti il report del 21 febbraio 2014 della Civil Liberties, Justice and Home Affairs Committee (LIBE) of the European Parliament (in http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+REPORT+A7-2014-0139+0+DOC+PDF+V0//EN)

[4] Consultabile una bozza presso http://194.242.234.211/documents/10160/2045741/Regolamento+com+2012+11.pdf

[5] Decisione della Commissione 5 febbraio 2010 (2010/87/EU) per trasferimenti da titolare verso responsabile; Decisione della Commissione 27 dicembre 2004 (2004/915/CE – set II) e Decisione della Commissione 15 giugno 2001 (2001/497/CE – set I) per trasferimenti da titolare verso titolare.

Print Friendly

Condividi su

Potrebbe interessarti anche

Quante volte abbiamo visto servizi giornalistici sensazionalistici dove l’intervistato a sua insap...

Privacy

Il totem alla stazione sa che sei lì, sa cosa fai e sa di che umore sei. Ma nessuno te lo ha detto!...

Privacy

Se, come insegna la filosofia digitale, tutto è informazione, e se tutta l’informazione può cons...

Privacy