VG15.1207  11/30/2015Privacy: decaduta l’autorizzazione “Safe Harbor” per il trasferimento dati personali negli USA. Strumenti alternativi per le imprese che devono trasferire dati personali negli USA. canale: Diritto d'impresa |
|
Il Garante per la privacy ha dichiarato decaduta l’autorizzazione emanata a suo tempo con la quale si consentivano i trasferimenti di dati verso gli Stati Uniti sulla base del cosiddetto accordo “Safe Harbor”. E’ pertanto vietato (a pena di sanzioni pecuniarie amministrative) trasferire i dati sulla base del sistema di “autocertificazione” definito Safe harbor” verso gli USA. Affinché si possa comunque trasferire dati oltreoceano, società multinazionali, organizzazioni e imprese italiane dovranno ricorrere alle ulteriori possibilità previste dal Codice sulla protezione dei dati personali. |
|
Approfondimenti
Caducazione del sistema di autocertificazione “Safe harbor” Il provvedimento allegato (1) è stato adottato dal Garante a seguito della recente sentenza della Corte di Giustizia dell’Unione Europea, che ha dichiarato invalido il regime introdotto in virtù dell’accordo “Approdo sicuro” (“Safe Harbor”), facendo venire meno il presupposto di legittimità per il trasferimento negli Usa di dati personali dei cittadini europei per chi utilizzava questo strumento. La decisione presa dal Garante è in linea con quanto concordato nelle settimane scorse nell’ambito del Gruppo che riunisce le Autorità della privacy dell’Unione europea. Pertanto, trattandosi di un provvedimento di divieto adottato dal Garante (2), la sua violazione espone al rischio di applicazione di pesanti sanzioni pecuniarie amministrative (3). L’Autorità ha il potere di effettuare controlli per verificare la liceità e la correttezza del trasferimento dei dati da parte di chi esporta i dati. Modalità per il trasferimento lecito In attesa delle prossime decisioni che verranno eventualmente assunte in sede europea, le imprese potranno continuare a trasferire lecitamente i dati delle persone in un paese extra europeo (non appartenente alla UE od allo Spazio Economico europeo) che non fornisce un sistema di protezione dei dati personali analogo a quello comunitario (quale sono gli USA) solo avvalendosi di uno degli altri presupposti di liceità previsti dal Codice privacy (4). Tra le varie modalità si evidenziano alcune di maggior interesse per le imprese. - consenso espresso individuale (5) Il trasferimento dei dati personali verso gli USA è lecito qualora si sia acquisito un consenso (informato) esplicito della singola persona interessata all’invio per determinati trattamenti dei propri dati personali. Il consenso è opportuno che sia acquisito, a fini probatori, per iscritto: la forma scritta è comunque obbligatoria per il trasferimento di dati sensibili. - clausole contrattuali tipo (6) Il trasferimento diviene lecito anche redigendo tra impresa italiana (“esportatrice dei dati”) e società americana (“importatrice dei dati”) delle apposite clausole contrattuali tipo -predisposte a livello comunitario con decisioni della Commissione europea- e dirette a garantire un adeguato livello di protezione dei dati personali. Attualmente sono state emanate alcune decisioni sia per l’ipotesi che si trasferiscano dati ad un autonomo titolare del trattamento americano (7), sia per l’ipotesi di invio di dati ad un responsabile del trattamento operante in USA (8). - BCR infragruppo -”Binding Corporate Rules” (9) E’ prevista anche una procedura diretta ad autorizzare un insieme di regole vincolanti per tutte le società di un medesimo gruppo in materia di trattamento dati; tuttavia, tale procedura richiede una specifica autorizzazione da ottenere presso il Garante. La modalità più aderente alle esigenze aziendali di trasferimento massivo e costante di dati verso gli USA appare essere quella della stipula tra le parti (esportatore ed importatore) delle clausole contrattuali standard che “certificano” l’applicazione di una serie di prescrizioni obbligatorie nel trattamento dei dati trasferiti, affiancato anche (ove possibile) dai consensi informativi individuali. - Informativa In ogni caso, qualora non sia già stato comunicato nella informativa ai dipendenti predisposta in materia di privacy, è obbligatorio fornire una informativa integrativa sul trasferimento dei dati personali nel Paese extra europeo (con livelli di protezione non adeguati), informativa che contenga le indicazioni richiesta dal Codice (10). Note (1) Pubblicato sulla G.U. n.271 del 20.11.2015. (2) Ai sensi dell’art.154, lettera d) del Codice privacy (D.lgs. n.196 del 2003). (3) Previste dall’art.162, comma 2 ter del Codice privacy. (4) Agli articoli 43 e 44 del Codice privacy. (5) Secondo l’art.43, lettera a) del Codice privacy. (6) Secondo l’art.44, lettera b) del Codice privacy. (7) Decisione 497/2001, integrata con decisione 915/2004. (8) Decisione 87/2010. (9) Secondo l’art.44 lettera a) del Codice privacy. (10) Vedi art.13 del Codice privacy. |
|
Allegati
- Provvedimento Garante 22 ottobre 2015 (file .docx - 36Kb)  |
|
Per informazioni Elisa Ambrosi Massimiliano Ciarrocchi Via degli Arcadi, 7, Via degli Arcadi, 7 tel. 0481 33101 int. 350, 0481 33101 int. 314 fax 0481 532204, 0481 532204 mail e.ambrosi@confindustriaaltoadriatico.it, m.ciarrocchi@confindustriaaltoadriatico.it |