Linee guide della Commissione Europea sui flussi di dati dopo il Safe Harbour. Una dichiarazione politica

La recente posizione della Commissione Europea in tema di linee guida per gli operatori dopo la sentenza che ha annullato l'accordo Safe Harbour sui flussi di dati EU-US pare più una dichiarazione politica che altro.

Questo perchè gli strumenti disponibili sono quelli esistenti nell'ordinamento EU in materia di data protection ed a tutti noti. Quale allora la ragione di ribadire assunti già noti?

Forse una scelta politica, volta a rafforzare il dialogo UE-US. Forse un tentativo di placare certe interpretazioni avanzate da alcune data protection authorities (si veda la posizione della DPA dello Schleswig-Holstein, per altro un parere molto interessante).
Di fatto, in linea con la sentenza ECJ, la Commissione non può però che riconoscere l'autonomia delle DPAs nel valutare le situazioni concrete, ed infatti lo ribadisce più volte. Al momento sono infatti quest'ultime autorità a giocare un ruolo centrale rispetto ai flussi transfrontalieri.

Nel testo della Commissione v'è un passaggio significativo in merito al ricorso a Standard Contractual Clauses (SCCs) e Binding Corporate Rules (BCR):

"in the absence of a Commission finding of adequacy, the responsibility is on controllers to ensure that their data
transfers take place with sufficient safeguards in accordance with Article 26(2) of the Directive. This assessment needs to be carried out in the light of all the circumstances surrounding the transfer at issue. In particular, both the SCCs and BCRs provide that if the data importer has reasons to believe that the legislation applicable in the recipient country may prevent it from fulfilling its obligations, it shall promptly inform the data exporter in the EU. In such a situation, it is up to the exporter to consider taking the appropriate measures necessary to ensure the protection of personal data. These may range from technical, organisational, business-model related or legal or measures to the possibility to suspend the data transfer or to terminate the contract. Taking into account all the circumstances of the transfer, data exporters may thus have to put in place additional safeguards to complement those afforded under the applicable legal basis for transfer to meet the requirements of Article 26(2) of the Directive".

E qui si ritorna dunque al principio, ovvero agli effetti che si possono trarre dalla decisione della ECJ sull'impiego delle SSCs e BCR in stati ove vi siano norme imperative che impediscono di offrire completa tutela adeguata in via contrattuale.


Quale futuro?

I tempi indicati dalla Commissione per un nuovo accordo sono molto simili a quelli del "periodo di grazia" concesso dai garanti. Ragionevole attendersi quindi che il fronte US-EU si normalizzi.questo forse il messaggio principale del documento, più che le pretese linee guida.

Durante questo interludio, poche imprese troveranno conveniente adottare SScs o BCR, salvo in un'ottica di strategia di lungo periodo (la stessa che spinse Microsoft ad impiegarle nei servizi cloud).


Ma per il resto del mondo?

A seguire un'interpretazione rigorosa della sentenza dell'ECJ non sarà così agevole parlare di adeguatezza per molti Paesi di destinazione di processi di outsourcing informatico. Forse verranno riviste le SSCs, questa pare l'intenzione.
In proposito si potrebbe pensare ad un meccanismo più morbido, basato su un'adeguata e completa informazione dell'importatore di dati (chi li tratta nel Paese extra EU) in favore dell'esportatore europeo. Informativa sui rischi e possibili accessi ai dati derivanti da norme imperative locali.

Sarebbe una soluzione migliore di quella attuale. Ad oggi, una volta adottate le SSCs, non mi pare ci si curi di altro, come se sempre l'accordo delle parti potesse prevalere su tutto, norme imperative comprese.
Vero che la Commissione, nel passaggio citato sopra ed in linea con le vigenti SSCs, pare andare in senso contrario ed esortare a "taking the appropriate measures necessary to ensure the protection of personal data. These may range from technical, organisational, business-model related or legal or measures to the possibility to suspend the data transfer or to terminate the contract. Taking into account all the circumstances of the transfer, data exporters may thus have to put in place additional safeguards to complement those afforded under the applicable legal basis for transfer to meet the requirements of Article 26(2) of the Directive", tuttavia questa pare un'interpretazione di chi legge le norme nel chiuso di una stanza.

Cosa può fare un'impresa contro uno Stato che pretende di far valere le proprie leggi sul proprio suolo?

Certo può ricorrere in giudizio o ricorrere a sistemi tecnici di protezione dati (cifratura etc.), ma cambiamenti di "technical, organisational e business-model" possono avere un costo elevato e, sul fronte giudiziario, non tutte le imprese sono del calibro delle grandi società IT, tali da potersi permettere posizioni di contrasto con il potere politico (ove lo ritengano utile).
Quindi o ci si accontenta di una buona informativa sui rischi (magari accompagnata da garanzie specifiche sul fronte del risarcimento di potenziali pregiudizi), o si continua a far finta che SSCs e BCR funzionino anche dove non funzionano (stato attuale), oppure si bloccano i flussi di dati verso molti Paesi (ipotesi irrealistica per ovvie ragioni economiche). Da qui la preferenza per la prima opzione, seppur non in linea con l'idea di adeguatezza (o con la sua mitizzazione).

Questa voce è stata pubblicata in Cloud computing, dati personali, outsourcing, privacy, Safe Harbour e contrassegnata con , , , . Contrassegna il permalink.