Il World Economic Forum preconizza che i dati personali diventeranno una vera e propria asset class. ll mercato dell’advertising online che su questi dati si basa è in continua crescita (oggi si aggira intorno ai 68 miliardi di dollari) e così quello dei Big Data che probabilmente raggiungerà i 50 miliardi di dollari entro il 2017. L’Europa rappresenta un mercato di consumatori e i colossi della gestione di dati si trovano negli USA. L“UE-USA Privacy Shield” è il nuovo accordo sul trasferimento e trattamento di dati personali di cittadini digitali europei negli Stati Uniti che sostituirà dopo 15 anni il Safe Harbor, dichiarato invalido alla fine del 2015. Il mercato e i cittadini attendono di conoscere a breve le indicazioni operative. Eccovi una narrazione di questa storia.
Il Trasferimento dei Dati Personali
L’Art. 25 comma 1 della Direttiva 95/46 e l’Art. 44 del D. Leg. 196/2003 vietano il trasferimento dei dati fuori dall’Unione Europea (incluso Norvegia, Islanda e Liechtenstein) a meno che non vengano garantiti livelli di sicurezza adeguati e in presenza delle seguenti condizioni:
- Consenso scritto esplicito
- Per esecuzione degli obblighi derivanti da contratto stipulato in favore dell’interessato e in genere non in casi di relazioni commerciali b2b
- Il Titolare del dato e del Suo trattamento avesse esplicitamente richiesto al Garante il trasferimento (poiché in presenza di un contratto NON standard)
- Nel rispetto delle BCR – Binding Corporate Rules, codice di condotta che regola il flusso aziendale di dati intragruppo (capogruppo vs altre sedi in paesi extra-UE).
- Una successione di richieste accolte dal Garante ha portato nel tempo all’estensione automatica dell’autorizzazione verso paesi come Svizzera, Andorra, Argentina, Isole Mauritius, Canada,..
Una regolamentazione separata per gli Stati Uniti si è resa necessaria intorno alla fine degli anni 90 a fronte della crescente predominanza in Europa di Aziende affidatarie di dati personali con sede USA e delle notevoli differenze nell’ambito del Diritto alla Privacy.
Il Safe Harbor Pact è stato dunque l’accordo che ha risolto per quindici anni specificatamente i flussi UE-USA di dati.
Che cos’era il Safe Harbor Pact
Ricordate Pearl Harbor? E’ il nome della baia hawaiana in cui praticamente l’intera flotta americana fu annientata dopo un sapiente lavoro di intercettazioni e creazione e poi messa in onda di comunicazioni fuorvianti da parte dei Giapponesi (meno o meno efficacemente da parte degli Americani, alla luce degli esiti). Ebbene, nel 2000 il Dipartimento del Commercio Americano e la UE siglano il Safe Harbor Pact, con l’intento di regolamentare l’utilizzo e la gestione di dati sensibili europei per diverse ragioni inviati a o trasferiti da aziende USA nell’, a questo punto, “sicuro” porto americano.
I cardini procedurali di applicazione del Safe Harbor Pact
Prima di concludere un contratto (per esempio di service providing) che comportasse l’affidamento di dati europei negli USA, l’azienda europea (il Titolare del Trattamento dei Dati e/o il Responsabile del Trattamento) aveva l’ònere di verificare che l’azienda americana fosse effettivamente nella Safe Harbor List (fornisce i nomi delle aziende USA che si sono certificate, di quale tipologia e settore sono, a quando risale la certificazione e quando scade, chi è il responsabile dei dati e per quali tipologie di dati) e avesse recepito nella pratica gli accordi; sul fronte americano chiaramente l’azienda doveva essere in grado di garantire
- di aver aderito al patto entrando volontariamente nella lista delle aziende certificate e rinnovando annualmente le certificazione
- livelli tecnologici e organizzativi di sicurezza adeguati a evitare la distruzione accidentale o illecita, la perdita accidentale o l’alterazione, la diffusione o l’accesso non autorizzato, o qualsiasi
- altra forma illecita di trattamento dei dati personali come garantito in Europa e infine
- essere disponibile a far verificare i propri impianti di trattamento dei dati all’esportatore dei Dati o alla persona/organismo da lui delegato
Il trasferimento dei dati avveniva poi sulla base del Data Transfer Agreement che contemplava tre set di Model Clauses a seconda della localizzazione reciproca dei titolari/responsabili del trattamento dei dati e dell’esistenza di un eventuale intermediario localizzato in UE o in un paese Terzo rispetto ai firmatari del Safe Harbor.
La Corte di Giustizia Europea dichiara illegittimo il Safe Harbor. Cosa è successo?
6 ottobre 2015. E’ un cittadino austriaco di nome Max Schrems ad avviare la messa in discussione del Safe Harbor Pact. Schrems è’ un attivista di 28 anni col pallino della privacy. Per anni ha contestato violazioni della legge sulla privacy europea da parte delle aziende americane, ma con le rivelazioni di Snowden (Wikileaks) ha trovato un appiglio più saldo. Così ha presentato delle denunce alle autorità nazionali sulla privacy (i vari Garanti) sostenendo che i programmi di sorveglianza americani violassero le leggi sulla privacy europee. In particolare si rivolge al Garante della Privacy in Irlanda, il paese europeo in cui Facebook Europa ha sede e arriva fino alla Corte di Giustizia locale (equivalente alla nostra Cassazione); questa a sua volta si rivolge alla Corte di Giustizia Europea sostenendo di non avere il potere di scavalcare il Safe Harbor Pact sottoscritto dalla Commissione. Ma la Corte di Giustizia Europea dichiara che la sussistenza di un patto come il Safe Harbor non riduce il potere della authority locale ad esercitare il controllo.
Ecco cosa tra l’altro ha osservato la Corte Europea:
- Il Programma Safe Harbour trova applicazione solo per le aziende che abbiano deciso annualmente di aderirvi volontariamente e non vincola in alcun modo gli enti pubblici statunitensi;
- Le norme di tutela del Safe Horbour possono essere disapplicate senza limiti ogni qual volta il Safe Harbour confligga con la sicurezza nazionale, le leggi statunitensi o il pubblico interesse;
- La legislazione statunitense permette alle autorità pubbliche di accedere e trattare i dati trasferiti ben al di là delle esigenze di sicurezza nazionale.
Uno degli effetti della decisione della Corte è stato quello di dare più potere alle autorità nazionali per la protezione della privacy. Chiunque potrà presentare delle segnalazioni come quelle di Schrems e chiedere alle autorità se il trasferimento dei propri dati da parte di un’azienda americana su suolo americano garantisca i propri diritti. Se la gestione verrà giudicata non adeguata il trasferimento dati potrà essere bloccato. Il risultato potrebbe essere una crescente localizzazione dei dati di cittadini europei all’interno dell’Unione europea.
Prime reazioni dai player di mercato a garanzia della privacy
In effetti poco dopo due colossi come Amazon Web Services e Microsoft uscivano con i rispettivi comunicati rassicuranti: “I clienti AWS potranno continuare le loro operazioni usando AWS in piena compliance con la Direttiva Europea.” … ” Infatti AWS ha ottenuto dall’Authorithy Europea l’approvazione del AWS Data Processing Addendum and Model Clauses per il trasferimento di dati personali fuori dall’Europa, USA inclusi.” In ogni caso i clienti possono scegliere se lasciare i dati in Europa optando per la loro collocazione in Irlanda o Germania” e “dalla seconda metà del 2016 le aziende tedesche ed europee potranno contare sue due nuovi datacenter Microsoft in Germania. I dati gestiti da/in Azure, Office 365 e Dynamics CRM Online cloud services saranno tutelati dalla legislazione tedesca e gli utenti europei sapranno esattamente come e dove i loro dati saranno trattati.”
La controversia che nell’ultimo mese ha visto contrapposti il governo USA e la società Apple ha avuto tutti gli elementi del ‘caso controverso e difficile’: la corte federale statunitense ha provato a imporre ad Apple di predisporre un software per ‘decriptare’ i contenuti dell’iPhone di uno degli autori della strage di San Bernardino. Una rassegna delle principali basi normative a sostegno delle diverse posizioni si trova su www.eticaeconomia.it.
Da un lato l’interesse di un’impresa, che ha costruito la sua reputazione commerciale (anche) sull’elevato livello di sicurezza dei propri sistemi informatici e sulla promessa di rispetto della privacy degli utenti, a cui viene ingiunto di elaborare un software capace di ‘aggirare’ il dispositivo criptografico posto a garanzia dell’inviolabilità dei suoi prodotti. Dall’altro v’è l’interesse, altrettanto legittimo, alla corretta amministrazione della giustizia e in particolare alla repressione dei reati.
Cosa è in vigore oggi e che impatto ha su chi si occupa di IT e privacy
L’annullamento del Safe Harbor ha creato non pochi problemi a chi ha responsabilità nel trattamento dei dati e in tutti quei casi in cui il trasferimento dei dati non sia connaturato all’oggetto del contratto e sia massicio e continuativo come nel caso dei servizi di cloud computing o di un social network.
Poco dopo la scadenza del termine 31 gennaio fissata dal Gruppo dell’Articolo 29 – l’organismo responsabile per la protezione dei dati nell’UE – , la Commissione Europea ha infatti annunciato che l’accordo UE-USA Safe Harbor sarà sostituito dal “UE-USA Privacy Shield” di cui però si attendono a tutt’oggi le indicazioni operative.
In questo vuoto legislativo, la soluzione più pratica, ma non necessariamente praticabile, è che l’azienda che trasferisce i dati chieda negli USA l’applicazione e la stipula delle standard clauses della Commissione Europea.
UE-USA Privacy Shield
Il nome di battesimo del nuovo accordo non stupisce. Dai porti legati al conflitto mondiale, passiamo agli scudi legati alla Guerra Fredda. Il livello di scontro si alza, le protezioni diventano planetarie! Il comunicato stampa di Strasburgo pubblicato a Febbraio che ha annunciato il nuovo framework, comunque si teneva ancora piuttosto sul vago, preannunciando un accordo incentrato su tre assi:
1. Forti obblighi e decise restrizioni per le aziende che trattano i dati personali degli Europei
Le aziende statunitensi che desiderano importare i dati personali dall’ Europa dovranno impegnarsi molto di più su come i dati personali sono trattati e sul garantire i diritti individuali. Il Dipartimento del Commercio controllerà che le aziende rendano pubblici i loro impegni e dunque siano obbligate a rispettarli secondo il Diritto degli Stati Uniti. Inoltre qualsiasi società di gestione di dati afferenti alle risorse umane deve impegnarsi a rispettare le decisioni delle Authority per la Privacy europee.
2. Chiarezza nelle garanzie e obbligo di trasparenza in materia di accesso per il Governo degli Stati Uniti
Per la prima volta gli Stati Uniti hanno dato assicurazioni scritte all’UE che l’accesso ai dati da parte delle autorità pubbliche preposte alla gestione della sicurezza nazionale, sarà soggetta a chiare limitazioni, garanzie e meccanismi di controllo. Le eccezioni devono essere utilizzate solo in misura necessaria e proporzionata. Nel quadro del nuovo accordo, il Governo americano ha rinunciato all’indiscriminata sorveglianza in massa dei dati personali trasferiti negli Stati Uniti. Per monitorare regolarmente il funzionamento della disposizione ci sarà una revisione congiunta annuale, che comprenderà anche la questione dell’accesso per ragioni di sicurezza nazionale. La Commissione Europea e il Dipartimento statunitense del Commercio condurranno la revisione e inviteranno a partecipare esperti nazionali di intelligence e autorità europee per la protezione dei dati.
3. Una protezione efficace dei diritti dei cittadini dell’Unione, con diverse possibilità di ricorso
Ogni cittadino che ritiene che i propri dati siano stati trattati in modo improprio, avrà diverse possibilità di ricorso. Alle imprese verrano imposti tempi di reazione definiti per rispondere alle denunce. Le Authority per la Privacy europee potranno per i reclami fare riferimento al Dipartimento del Commercio e alla Federal Trade Commission. Inoltre la risoluzione delle controversie alternativa alla sede legale sarà gratuita. Per reclami sulla possibilità di accesso da parte delle autorità di intelligence nazionali, verrà creato un nuovo difensore/mediatore civico.
Non è dato sapere quando e come nel dettaglio lo UE-USA Privacy Shield sarà messo in atto.
I prossimi passi verso il Privacy Shield
Sul fronte europeo si preparerà un progetto di “decisione sull’adeguatezza”, che potrebbe poi essere adottato dal Collegio dei Commissari previo parere del Gruppo dell’Articolo 29 e dopo aver consultato un comitato composto dai rappresentanti degli Stati membri. Nel frattempo, gli Stati Uniti faranno i preparativi necessari per mettere in atto il nuovo quadro, i meccanismi di controllo e il nuovo Mediatore.
Il Gruppo dell’Articolo 29, si è espresso proprio lo scorso 13 aprile in una conferenza stampa e in un documento scritto indicando abbastanza chiaramente gli aspetti che necessitano di chiarimento o approfondimento specialmente riguardo agli aspetti commerciali del Privacy Shield e la limitazione dell’azione degli enti pubblici americani oltre al richiamo al rispetto di quanto previsto dal nuovo GDPR.
Privacy Shield tassello di una strategia più ampia…
… negli USA
Il Prof. Mensi ha dichiarato a Cyber Affairs: “Per Ue e Usa l’intesa è win-win” Si tratta, sottolinea Mensi, di un percorso articolato, del quale il Privacy Shield costituisce “un tassello essenziale”, tra l’altro “sottoposto a verifica congiunta di anno in anno”.
Dopo il Datagate, “lo stesso presidente Usa Barack Obama con la Presidential Policy Directive numero 28 del gennaio 2014 ha avviato una serie di iniziative che hanno delineato meglio le modalità e il raggio d’azione della cyber intelligence: dalla revisione nel 2015 del Freedom Act – approvato durante l’amministrazione di George W. Bush sulla scia degli attentati dell’11 settembre 2001 – al Judicial Redress Act firmato il 24 febbraio, che estende ai Paesi alleati le medesime norme a tutela della privacy di cui godono i cittadini Usa”. Parallelamente proseguono i lavori per lo Ue-Usa Umbrella Agreement, che assicura garanzie per il trasferimento di dati anche ai fini di inchieste giudiziarie (corrierecomunicazioni.it 29/2/2016) o lo SPY CAR ACT (Security and Privacy Your Car Act) che risponde al mercato crescente delle auto “driverless”
… in Europa
A questo, prosegue il docente, si sommano le iniziative intraprese dal Vecchio continente: “Dalla prossima adozione del pacchetto Privacy o GDPO con il regolamento e la direttiva sulle attività di polizia, alla direttiva Nis, che estende ad una serie di soggetti privati l’obbligo di adottare pratiche di gestione del rischio e garantire lo scambio di informazioni fra settore pubblico e privato, con l’onere di segnalare incidenti si sicurezza a carico di operatori bancari, finanziari, società di servizi It, gestori di infrastrutture critiche, dai settori dell’energia e dei trasporti alla salute, per citarne alcuni.
2018: il futuro della Privacy UE: Il Regolamento Generale sulla Protezione dei Dati o GDPR
La direttiva sulla protezione dei dati che aveva determinato il Safe Harbor sarà presto sostituita dal GDPR, una legge paneuropea che armonizzerà la protezione dei dati tra gli Stati membri dell’Unione.
Tutte le organizzazioni che raccolgano, elaborino o commercializzino le informazioni dovranno soddisfare i suoi requisiti, o saranno sanzionabili per il 4% del fatturato, che nel caso delle società Internet a livello mondiale potrebbe essere di miliardi
Il lavoro per la messa in atto del Privacy Shield continua alacremente anche perché il mercato dei servizi digitali transatlantici vale circa 260 miliardi di $. Intanto gli americani hanno firmato gli impegni descritti sopra e le aziende che gestiscono e trasferiscono dati si dovranno adeguare. ”
