Linee guide della Commissione Europea sui flussi di dati dopo il Safe Harbour. Una dichiarazione politica

La recente posizione della Commissione Europea in tema di linee guida per gli operatori dopo la sentenza che ha annullato l'accordo Safe Harbour sui flussi di dati EU-US pare più una dichiarazione politica che altro.

Questo perchè gli strumenti disponibili sono quelli esistenti nell'ordinamento EU in materia di data protection ed a tutti noti. Quale allora la ragione di ribadire assunti già noti?

Forse una scelta politica, volta a rafforzare il dialogo UE-US. Forse un tentativo di placare certe interpretazioni avanzate da alcune data protection authorities (si veda la posizione della DPA dello Schleswig-Holstein, per altro un parere molto interessante).
Di fatto, in linea con la sentenza ECJ, la Commissione non può però che riconoscere l'autonomia delle DPAs nel valutare le situazioni concrete, ed infatti lo ribadisce più volte. Al momento sono infatti quest'ultime autorità a giocare un ruolo centrale rispetto ai flussi transfrontalieri.

Nel testo della Commissione v'è un passaggio significativo in merito al ricorso a Standard Contractual Clauses (SCCs) e Binding Corporate Rules (BCR):

"in the absence of a Commission finding of adequacy, the responsibility is on controllers to ensure that their data
transfers take place with sufficient safeguards in accordance with Article 26(2) of the Directive. This assessment needs to be carried out in the light of all the circumstances surrounding the transfer at issue. In particular, both the SCCs and BCRs provide that if the data importer has reasons to believe that the legislation applicable in the recipient country may prevent it from fulfilling its obligations, it shall promptly inform the data exporter in the EU. In such a situation, it is up to the exporter to consider taking the appropriate measures necessary to ensure the protection of personal data. These may range from technical, organisational, business-model related or legal or measures to the possibility to suspend the data transfer or to terminate the contract. Taking into account all the circumstances of the transfer, data exporters may thus have to put in place additional safeguards to complement those afforded under the applicable legal basis for transfer to meet the requirements of Article 26(2) of the Directive".

E qui si ritorna dunque al principio, ovvero agli effetti che si possono trarre dalla decisione della ECJ sull'impiego delle SSCs e BCR in stati ove vi siano norme imperative che impediscono di offrire completa tutela adeguata in via contrattuale.


Quale futuro?

I tempi indicati dalla Commissione per un nuovo accordo sono molto simili a quelli del "periodo di grazia" concesso dai garanti. Ragionevole attendersi quindi che il fronte US-EU si normalizzi.questo forse il messaggio principale del documento, più che le pretese linee guida.

Durante questo interludio, poche imprese troveranno conveniente adottare SScs o BCR, salvo in un'ottica di strategia di lungo periodo (la stessa che spinse Microsoft ad impiegarle nei servizi cloud).


Ma per il resto del mondo?

A seguire un'interpretazione rigorosa della sentenza dell'ECJ non sarà così agevole parlare di adeguatezza per molti Paesi di destinazione di processi di outsourcing informatico. Forse verranno riviste le SSCs, questa pare l'intenzione.
In proposito si potrebbe pensare ad un meccanismo più morbido, basato su un'adeguata e completa informazione dell'importatore di dati (chi li tratta nel Paese extra EU) in favore dell'esportatore europeo. Informativa sui rischi e possibili accessi ai dati derivanti da norme imperative locali.

Sarebbe una soluzione migliore di quella attuale. Ad oggi, una volta adottate le SSCs, non mi pare ci si curi di altro, come se sempre l'accordo delle parti potesse prevalere su tutto, norme imperative comprese.
Vero che la Commissione, nel passaggio citato sopra ed in linea con le vigenti SSCs, pare andare in senso contrario ed esortare a "taking the appropriate measures necessary to ensure the protection of personal data. These may range from technical, organisational, business-model related or legal or measures to the possibility to suspend the data transfer or to terminate the contract. Taking into account all the circumstances of the transfer, data exporters may thus have to put in place additional safeguards to complement those afforded under the applicable legal basis for transfer to meet the requirements of Article 26(2) of the Directive", tuttavia questa pare un'interpretazione di chi legge le norme nel chiuso di una stanza.

Cosa può fare un'impresa contro uno Stato che pretende di far valere le proprie leggi sul proprio suolo?

Certo può ricorrere in giudizio o ricorrere a sistemi tecnici di protezione dati (cifratura etc.), ma cambiamenti di "technical, organisational e business-model" possono avere un costo elevato e, sul fronte giudiziario, non tutte le imprese sono del calibro delle grandi società IT, tali da potersi permettere posizioni di contrasto con il potere politico (ove lo ritengano utile).
Quindi o ci si accontenta di una buona informativa sui rischi (magari accompagnata da garanzie specifiche sul fronte del risarcimento di potenziali pregiudizi), o si continua a far finta che SSCs e BCR funzionino anche dove non funzionano (stato attuale), oppure si bloccano i flussi di dati verso molti Paesi (ipotesi irrealistica per ovvie ragioni economiche). Da qui la preferenza per la prima opzione, seppur non in linea con l'idea di adeguatezza (o con la sua mitizzazione).

Pubblicato in Cloud computing, dati personali, outsourcing, privacy, Safe Harbour | Contrassegnato , , ,

Prime linee guida dei garanti europei sull’applicazione ed effetti della sentenza Safe Harbour

L'ART29WP, ha rilasciato ieri un primo comunicato sulle conseguenze applicative della sentenza dell'ECJ sull'accordo per il trasferimento dati da EU a US (Safe Harbour)

Questi i punti principali:

1. esortazione ad una negoziazione EU-US

2. precisazione che un eventuale nuovo accordo (su cui sono già in corso negoziati) dovrà contenere "clear and binding mechanisms and include at least obligations on the necessary oversight of access by public authorities, on transparency, on proportionality, on redress mechanisms and on data protection rights"

3. l'ART29WP valuterà come la sentenza ECJ incide sugli altri strumenti di trasferimento dati verso US (i.e. Standard Contractual Clauses e Binding Corporate Rules)

4. in via interinale le imprese possono validamente ricorrere alle Standard Contractual Clauses and Binding Corporate Rules

5. le autorità garanti potranno comunque valutare caso per caso l'eventuale inadeguatezza delle tutele offerte

6. se entro gennaio 2016 non si addiviene ad una soluzione sul trasferimento dati, in accordo con le autorità US, i garanti adotteranno azioni comuni a tutela degli interessati

7. "in any case, transfers that are still taking place under the Safe Harbour decision after the CJEU judgment are unlawful"

8. campagna di comunicazione per informare imprese e cittadini sull'impatto della sentenza ECJ

Breve commento:

I garanti EU fanno pressione su EU-US perchè si trovi un accordo, ma un accordo equo in termini di garanzie (ben diverso dall'accordo Safe Harbour, chiaramente a ribasso ed influenzato da ragioni politiche-economiche).

Le imprese dovrebbero virare verso le soluzioni contrattuali per la tutela dei dati (Standard Contractual Clauses e Binding Corporate Rules), ma anche rispetto a quest'ultime potrebbero in futuro esservi criticità.

Ultimatum fissato a gennaio 2016.

Va infine ricordato come il garante del Schleswig-Holstein (noto per adottare posizioni rigorose in materia di data protection) abbia già messo in dubbio l'efficacia delle Standard Contractual Clauses. Il Garante italiano potrebbe però non seguire una linea interpretativa analoga.

qui il testo completo

Pubblicato in dati personali, privacy | Contrassegnato , , , , ,

Alcune note sul caso Google e il diritto all’oblio

La decisione della Corte di giustizia dell’Unione Europea riapre il dibattito sul diritto all’oblio (Mantelero, 2013).
Nello specifi, la Corte ha affermato:

“As the data subject may, in the light of his fundamental rights under Articles 7 and 8 of the Charter, request that the information in question no longer be made available to the general public on account of its inclusion in such a list of results, those rights override, as a rule, not only the economic interest of the operator of the search engine but also the interest of the general public in having access to that information upon a search relating to the data subject’s name. However, that would not be the case if it appeared, for particular reasons, such as the role played by the data subject in public life, that the interference with his fundamental rights is justified by the preponderant interest of the general public in having, on account of its inclusion in the list of results, access to the information in question”.
L’aspetto più controverso della decisione è rappresentato dalla valutazione degli interessi contrapposti (diritto all’oblio e libertà di espressione) ( Zittrain , 2014). In proposito, la Corte suggerisce che una “supervisory authority or judicial authority” può ordinare ad un motore di ricerca “to remove from the list of results displayed following a search made on the basis of a person’s name links to web pages published by third parties containing information relating to that person”. Tuttavia, le disposizioni della direttiva 95/46/CE non paiono escludere che la medesima richiesta di cancellazione possa altresì essere direttamente avanzata dalla persona interessata. In questo caso, per evitare un contenzioso (ed un eventuale richiesta di danni), i motori di ricerca dovrebbero prontamente realizzare una valutazione comparativa degli interessi in conflitto, ovvero il diritto all’oblio ed il diritto ad informare e ad essere informati. Una simile valutazione pare tuttavia più competere alle autorità giudiziarie o alle data protection authorities che ad una società privata.

È pur vero che in passato le autorità garanti hanno ordinato ai media online di modificare il file robot.txt al fine di non rendere specifici contenuti indicizzabili dai motori di ricerca. In questi casi, al fine di assolvere alle istanze dell’interessato, una valutazione comparativa degli interessi poteva anche essere effettuata dai gestori del sito. Tuttavia qui eravamo in presenza di soggetti con competenze professionali e su cui gravano specifici doveri correlati all’esercizio della libertà di espressione. In tal senso i media sono indubbiamente in una posizione migliore rispetto ai motori di ricerca per addivenire ad un bilanciamento degli interessi contrapposti.

In ogni caso, l’aspetto positivo di questa decisione consiste nell’indurre a riconsiderare positivamente l’ articolo 17 della EU Proposal for a General Data Protection Regulation, che risulta essere più chiaro di quanto non sia lo scenario descritto da questa decisione. Questa disposizione ammette infatti una deroga specifica per la libertà di espressione e riconosce il ruolo svolto dai tribunali e dalle autorità garanti nel decidere quali dati devono essere cancellati. Infine, essa autorizza la Commissione a definire procedure e soluzioni dettagliate per eliminare le informazioni personali.

Dando una lettura “politica” della decisione, essa appare una sorta di “anticipazione” delle disposizioni della proposta UE, anche se fatta in una maniera tale da indurre le lobby a riconsiderare la loro opposizione contro il “right to erasure” come definito nella proposta.

Pubblicato in dati personali, diritto all'oblio, Google, motori di ricerca, privacy, right to be forgotten | Contrassegnato , , ,

The EU Proposal for a General Data Protection Regulation and the roots of the ‘right to be forgotten’

Abstract

The EU Proposal for a General Data Protection Regulation has caused a wide debate between lawyers and legal scholars and many opinions have been voiced on the issue of the right to be forgotten. In order to analyse the relevance of the new rule provided by Article 17 of the Proposal, this paper considers the original idea of the right to be forgotten, pre-existing in both European and U.S. legal frameworks. This article focuses on the new provisions of Article 17 of the EU Proposal for a General Data Protection Regulation and evaluates its effects on court decisions. The author assumes that the new provisions do not seem to represent a revolutionary change to the existing rules with regard to the right granted to the individual, but instead have an impact on the extension of the protection of the information disseminated on-line.

http://www.sciencedirect.com/science/article/pii/S0267364913000654

 

Pubblicato in dati personali, diritto all'oblio, Internet, motori di ricerca, privacy