La Corte di Giustizia dell’Unione Europea il 06 ottobre 2015 ha dichiarato invalidi i principi privacy del c.d. “Safe Harbor” relativi al trasferimento dei dati negli Stati Uniti d’America.

Per la Corte l’invalidità è basata sul fatto che i dati trasferiti negli Stati Uniti ai sensi dei principi previsti dalla Direttiva Privacy UE non godrebbero di un livello di protezione dei dati personali equivalente a quello assicurato nel territorio dell’Unione Europea (cfr. caso Snowden).

Infatti, il problema principale rilevato è che gli accordi di Safe Harbor non hanno impedito alle Autorità Pubbliche Americane di monitorare e di accedere ai dati europei trasferiti negli Stati Uniti, anche in circostanze che non si possono considerare necessarie.

L’Autorità Garante Italiana ha evidenziato come sia necessario fornire una risposta coordinata a livello europeo anche da parte delle varie DPA, le quali stanno valutando le modalità più efficaci per individuare linee-guida comuni applicabili ai trasferimenti dei dati verso gli Stati Uniti d’America.

Cosa dovremo fare?
Dovremo bloccare il trasferimento e il trattamento dei dati negli Stati Uniti per quelle società che basano il principio di adeguatezza solo sull’essere certificate "Safe Harbor"? 

La decisione non blocca o sospende automaticamente il trasferimento dei dati verso gli Stati Uniti. Tale potere spetta alle competenti autorità nazionali, ovvero per quanto concerne l’Italia al Garante per la protezione dei dati personali.

Tuttavia, alla luce della decisione della Corte di Giustizia dell’Unione Europea, è verosimile che i trasferimenti di dati verso gli Stati Uniti basati esclusivamente sul regime “Safe Harbor” potranno essere  oggetto di contestazione.

Le aziende, a parere di chi scrive e di altri autorevoli DPO,  in attesa di una presa di posizione politica a livello UE e dei Garanti Privacy, anche attraverso una decisione del WP29, dovrebbero:

• rivedere ed analizzare i dati trasferiti negli Stati Uniti ai sensi del “Safe Harbor”, ivi compresi gli accordi con i fornitori americani che fanno affidamento su tali principi;
• limitare questi trasferimenti di dati a ciò che è essenziale per il business della società;
• adottare le c.d. “standard contractual clauses” | contratti tipo espressamente approvati dalla Commissione Europea e già utilizzati dalle società.
• prevedere la possibilità di presentare richiesta per Binding Corporate Rules (BCR), strumento volto a consentire il trasferimento dei dati solo tra società facenti parti dello stesso gruppo di imprese.

Tutto ciò sperando che questa decisione non faccia venir meno anche la legittimità in futuro di tali strumenti.

Le aziende ed i propri Data Protection Officer che si trovano in questa condizione dovrebbero quindi compiere una dettagliata verifica di conformità interna | audit sulle modalità in cui i dati vengono trasferiti negli Stati Uniti e dovranno cercare di minimizzare i rischi di future contestazioni.

07 ottobre 2015