da MySolution Post
a cura di Carlo Piana – 8 ottobre 2015
Ha avuto grande risalto una sentenza della Corte di Giustizia dell’Unione Europea sull’esportazione dei dati verso gli Stati Uniti. Tecnicamente, la sentenza ha annullato una decisione della Commissione UE che approvava il regime di “Safe Harbour”, consentendo l’esportazione di dati verso gli Stati Uniti quando i destinatari ne facessero parte. Significa che non si possono più esportare dati verso gli Stati Uniti, come qualcuno ha ipotizzato? Significa che i singoli stati possono vietare il trasferimento di tali dati, come altri (molti) hanno detto? Più no che sì, ma la questione è un po’ complessa e va spiegata meglio.
LE REGOLE SULL’ESPORTAZIONE DEI DATI PERSONALI VERSO GLI STATI UNITI
Tutto nasce dall’art. 25 della Direttiva Privacy (Direttiva 95/46/CE). Gli stati membri fanno sì che i trasferimenti di dati all’estero (fuori della UE) siano possibili solo verso stati che assicurino un adeguato livello di protezione dei dati personali. La Commissione può, a seguito di trattative, in virtù di nuove leggi o di impegni internazionali, decidere che uno stato offra un adeguato livello di protezione, come ha fatto con decisione “Safe Harbour” (Decisione 2000/520). Gli stati membri sono obbligati a rispettare questa decisione e considerare che i trasferimenti effettuati nel regime di Safe Harbour sono legittimi, salvo casi particolari. Venendo meno la decisione, annullata dalla Corte, gli stati membri ritornano arbitri di decidere se tale regime offra comunque adeguate protezioni. Ma sulla scorta della stessa sentenza, che ha rinvenuto notevoli manchevolezze nel regimi Usa, è assai improbabile che i singoli Garanti diano tale approvazione.
Eliminato il Safe Harbour, non automaticamente tutti i trasferimenti verso gli Stati Uniti diventano illegittimi. Infatti possono ricorrere altri casi che consentono l’esportazione verso uno stato che non offra adeguata protezione. Più precisamente, secondo l’articolo 26, l’esportazione è possibile quando:
“a) la persona interessata abbia manifestato il proprio consenso in maniera inequivocabile al trasferimento previsto [dunque non un consenso generico al trattamento, ma specifico all’esportazione verso gli stati in questione] , oppure
b) il trasferimento sia necessario per l’esecuzione di un contratto tra la persona interessata ed il responsabile del trattamento o per l’esecuzione di misure precontrattuali prese a richiesta di questa [“necessario” significa che deve trattarsi di una necessità esterna e oggettiva, non semplicemente il fatto che il titolare abbia scelto di organizzarsi così: ad esempio, un contratto di prenotazione in albergo presso una catena, i dati devono essere trasferiti all’albergo di destinazione], oppure
c) il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto, concluso o da concludere nell’interesse della persona interessata, tra il responsabile del trattamento e un terzo [caso simile al precedente, può essere l’esempio in cui l’albergo viene prenotato da un’agenzia, che è dunque la titolare del trattamento, e l’albergo è il terzo], oppure
d) il trasferimento sia necessario o prescritto dalla legge per la salvaguardia di un interesse pubblico rilevante, oppure per costatare, esercitare o difendere un diritto per via giudiziaria, oppure
e) il trasferimento sia necessario per la salvaguardia dell’interesse vitale della persona interessata [pensiamo al ricovero in un ospedale straniero per un’emergenza sanitaria di un cittadino], oppure
f) il trasferimento avvenga a partire da un registro pubblico il quale, in forza di disposizioni legislative o regolamentari, sia predisposto per l’informazione del pubblico e sia aperto alla consultazione del pubblico o di chiunque possa dimostrare un interesse legittimo, nella misura in cui nel caso specifico siano rispettate le condizioni che la legge prevede per la consultazione.
2. Salvo il disposto del paragrafo 1, uno Stato membro può autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato ai sensi dell’articolo 25, paragrafo 2, qualora il responsabile del trattamento presenti garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l’esercizio dei diritti connessi; tali garanzie possono segnatamente risultare da clausole contrattuali appropriate.”
Nota importante: la Direttiva parla di “responsabile”, ma il Codice italiano usa la parola “titolare”, mentre riserva il termine “responsabile” per un’altra figura. Nel testo citato dunque “responsabile” si deve intendere come “titolare” nel senso utilizzato dal diritto italiano.
Per l’Italia, nell’applicazione del comma 2, dunque al di fuori dei casi menzionati dal comma primo, l’autorizzazione al trasferimento dei dati deve sempre essere concessa dal Garante, sulla base di elementi precisi, sia in via generale (per tutti i trattamenti che rispettino determinate condizioni), sia in via particolare (il singolo trattamento individuato). Un esempio sovente citato sono le cosiddette Binding Corporate Rules, ovvero regole di condotta che vengono adottate tra più società di uno stesso gruppo, e che vengono sottoposte al Garante per l’approvazione. Risulta però che il ricorso a tali strumenti sia ancora del tutto limitato.
L’autorizzazione del Garante in base alla decisione 2000/520 della Commissione, sul Safe Harbour (Autorizzazione 10 ottobre 2001, G.U. del 26 novembre 2001 n. 275 – Suppl. Ordinario n. 250), dunque, dovrebbe essere di per sé illegittima, perché è illegittimo l’atto che lo presuppone, e dunque o inapplicabile, oppure da rivalutare con un apposito provvedimento. Nell’attesa di un chiarimento, sembra prudente operare come se il Safe Harbour non ci sia del tutto. La risposta verrà data a livello europeo, dove i Garanti si riuniranno nella cosiddetta “Working Party ex art. 29” (l’assemblea dei Garanti europei prevista dalla Direttiva privacy per consentirne un coordinamento sovranazionale).
Nel frattempo, dunque, la regola dovrebbe essere: “esportazione dei dati solo con il consenso espresso dell’interessato”.
MA IO NON ESPORTO DATI, A ME COSA INTERESSA?
Se lei non esporta dati, non interessa. Ma ne siamo proprio sicuri?
Facciamo un esempio. La società A usa per il proprio sistema informatico un database della società X “in cloud”. La società X è americana e ha server in USA. I dati vengono fisicamente replicati anche in Usa. È un’esportazione. Occorre che la società X si impegni contrattualmente a tenere “segregati” i dati in Europa, e che lo faccia con penali o assunzioni di responsabilità adeguate in caso di violazione, in modo da avere un deterrente sufficiente. Molto spesso questi contratti prevedono una quasi assoluta assenza di responsabilità. E i problemi non finiscono qui.
Ok, si dirà, la società A avrà cura di ottenere il consenso da tutti gli interessati. Ciò vuol dire che tutti gli interessati devono aver manifestato un consenso specifico. Difficilmente si applicano le lettere a) e b) dell’art. 25. E tale consenso, nel caso di dati sensibili dovrà essere fornito per iscritto.
La società A ha acquisito il consenso. Molto bene. Però la stessa società ha anche un sistema di posta elettronica fornito dalla società G che ha sede negli Stati Uniti. I messaggi che riceve e che invia contengono invariabilmente dati personali. Da un messaggio di posta si possono conoscere un sacco di informazioni (per esempio, nome e cognome, indirizzo email, indirizzo del server di posta, indirizzo IP della connessione, sistema operativo utilizzato, client di email), anche senza avere accesso al contenuto “vero” del messaggio. Lo stesso fatto che un cittadino scriva a un determinato soggetto è un’informazione personale. Si tratta anche qui di un’esportazione dei dati.
Ancora peggior caso: il comune C (o l’ateneo pubblico D) utilizza per la posta elettronica quella fornita da G. I cittadini inviano le comunicazioni e scambiano corrispondenza con i funzionari su questioni che il Comune può trattare in virtù della propria natura di ente pubblico. Ma il comune non può esportare quei dati. I cittadini manco sanno che quel sistema di posta elettronica in realtà non è nella sede del comune, o in Italia, o nell’UE, ma in California.
A ben vedere, i casi di cui ho accennato poco sopra sarebbero tutti comunque stati illegittimi anche se il Safe Harbour fosse stato considerato valido. Questo perché i Garanti europei hanno dettato precise regole per il trattamento in cloud che in larga parte i fornitori Usa (con poche eccezioni, che non nomino per non fare pubblicità, anche perché uno di essi è per altri versi in fondo alla mia scala di gradimento) non rispettano affatto tali regole, che valgono per tutti i trattamenti, non solo per quelli effettuati al di là dell’Atlantico.
Insomma, prudenza!