Safe Harbour, gli orientamenti della Commissione: “Obiettivo è chiudere la discussione con gli Usa entro tre mesi”. Il Garante: “Imprese adottino altri strumenti per esportare dati”

La Commissione Europea ha pubblicato delle linee guida in materia di trasferimento di dati personali dei cittadini europei negli Stati Uniti a un mese esatto dalla sentenza con la quale Corte di Giustizia ha invalidato la decisione del 2000 in materia di safe harbour che regolava questa migrazione sull’altra sponda dell’Atlantico. “Siamo al lavoro dal gennaio 2014 per garantire un quadro più sicuro – si legge nella nota di Bruxelles che accompagna la comunicazione a Parlamento e Consiglio – ma ora, a seguito del pronunciamento della Corte, le trattative per un nuovo quadro di riferimento hanno subito un’accelerazione. Il nostro obiettivo è chiudere queste discussioni entro tre mesi”. E mentre si attende che le trattative vadano a buon fine, le aziende “devono conformarsi alla sentenza e avvalersi di eventuali strumenti alternativi per il trasferimento dei dati”. Viene così fornita una serie di orientamenti per far sì che le imprese possano effettuare trasferimenti dei dati sulla base di:

• soluzioni contrattuali: le clausole contrattuali devono prevedere obblighi, ad esempio misure di sicurezza, informazione dell’interessato, misure di salvaguardia nel caso del trasferimento di dati sensibili e così via (vedi i modelli di clausole contrattuali standard);
• norme vincolanti d’impresa per i trasferimenti all’interno di un gruppo: esse consentono di trasmettere liberamente i dati personali tra le diverse filiali di una multinazionale. Devono essere autorizzate dalle autorità di protezione dei dati in ciascuno Stato membro da cui la multinazionale intende trasferire i dati.

  Deroghe sono previste in caso di conclusione o esecuzione di un contratto (incluse le situazioni precontrattuali, ad esempio è consentito il trasferimento dei dati personali per prenotare un volo o una camera d’albergo negli Stati Uniti), accertamento, esercizio la difesa di un diritto in sede giudiziaria e consenso libero e informato dell’interessato, in assenza di altre motivazioni. A fine ottobre era stata Věra Jourová, Commissario europeo alla Giustizia, a far trapelare ottimismo in merito ai punti di contatto già raggiunti nelle trattative con gli Usa, mentre il Gruppo Art. 29, che riunisce le Authority garanti per la privacy del Vecchio Continente, aveva rimarcato l’urgenza di un nuovo regime per il trasferimento dei dati: “Se non saranno trovate soluzioni appropriate entro la fine del gennaio 2016 – è l’avvertimento contenuto in un documento ufficiale – le Autorità intraprenderanno ogni azione necessaria e appropriata, incluse eventuali iniziative coordinate di enforcement“. “La Commissione – chiosa oggi Bruxelles – continuerà a lavorare a stretto contatto con le autorità indipendenti per la protezione dei dati al fine di garantire un’applicazione uniforme della sentenza. Sarà necessario modificare altre decisioni di adeguatezza, per garantire che le Authority continuino ad essere libere di svolgere indagini a seguito delle denunce sporte da privati”. “L’Ue è il più importante partner commerciale degli Stati Uniti, così come gli Stati Uniti sono il più importante partner commerciale dell’Ue”, è il commento di Andrus Ansip, Vicepresidente e responsabile per il mercato unico digitale: “I flussi di dati tra i nostri continenti sono essenziali per le persone e per le imprese. Sebbene esistano strumenti alternativi, un quadro nuovo e più sicuro è la soluzione migliore per proteggere i cittadini e ridurre gli oneri amministrativi che gravano sulle imprese, soprattutto sulle start-up”. Le discussioni tra le autorità del Vecchio Continente e Washington riprenderanno la prossima settimana nella capitale federale americana. Arriva infine in queste stesse ore dal Garante privacy italiano l’atto ufficiale con il quale si dichiara decaduta l’autorizzazione al trasferimento dei dati vincolata proprio alla decisione del 2000 e si ribadiscono gli strumenti alternativi a disposizione delle aziende per continuare ad operare, dalle sopra richiamate clausole contrattuali standard alle regole di condotta adottate all’interno di un medesimo gruppo (le cosiddette Binding Corporate Rules). L’Autorità si è comunque riservata di “effettuare controlli per verificare la liceità e la correttezza del trasferimento dei dati da parte di chi li esporta”. 6 novembre 2015