Il 6 Ottobre , la corte di giustizia dell’unione europea (CGUE) ha emesso una sentenza importante riguardo il trasferimento dei dati personali tra l’Europa e gli Stati Uniti. Nella causa C-362/14 promossa da Maximillian Schrems nei confronti del Data Protection Commissioner, la CGUE ha stabilito che la decisione della commissione 2000/520 , conosciuta come “Safe Harbour”, che garantisce un elevato livello di protezione dei dati personali trasferiti in USA, è invalida.
Non vorrei spendere molto tempo sui dettagli della sentenza, poiché su questa decisione si è discusso ampiamente ovunque, in ogni caso, se interessati, la sentenza completa può essere letta seguendo questo link:
l’ Obiettivo di questo post è quello di evidenziare quali sono state le prime reazioni da parte delle autorità e quali potrebbero essere gli impatti di questa decisione per il nuovo Regolamento Europeo sulla Protezione dei Dati.
La CGUE ha dichiarato che le autorità nazionali di vigilanza hanno il potere di esaminare in piena indipendenza se il trasferimento dei dati di una persona verso un paese terzo, rispetti i requisiti stabiliti dalla direttiva sulla protezione dei dati.
Successivamente alla sentenza della CGUE, il gruppo di lavoro art.29 (WP29), il 16 Ottobre 2015, ha pubblicato una dichiarazione .
Il WP29, invita con urgenza gli stati membri e le istituzioni europee ad aprire le trattative con le autorità statunitensi al fine di trovare soluzioni giuridiche e tecniche, tali da consentire il trasferimento dei dati nel rispetto dei diritti fondamentali. Il WP29 ritiene che gli “attuali negoziati intorno ad una nuova Safe Harbor potrebbero essere una parte della soluzione”
Il Gruppo di Lavoro (WP29) ha chiarito che continuerà ad analizzare l’impatto della pronuncia della CGUE sugli altri strumenti esistenti per fondare un trasferimento di dati al di fuori dell’UE, e che nel frattempo le clausole contrattuali standard e le Binding Corporate Rules, potranno continuare ad essere utilizzate;
tuttavia, questo non impedirà alle autorità nazionali per la protezione dei dati (DPA) di indagare sui casi individuali.
Prima della dichiarazione del WP29, poche DPA hanno redatto delle linee guida formali riguardo l’impatto sulla decisione della CGUE, anche se alcune hanno rilasciato dichiarazioni che suggeriscono la validità di meccanismi giuridici alternativi per i trasferimenti di dati UE-USA.
Tramite i seguenti links, si possono leggere le dichiarazioni fatte da alcune DPA all’interno della giurisdizione europea:
Italia
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4308245
Le dichiarazioni delle DPA sopra menzionate, forniscono adeguata rassicurazione per le aziende. Sembra che nel breve termine le aziende possano continuare a contare sulle clausole contrattuali tipo e sulle norme vincolanti d’impresa, come basi giuridiche per i loro trasferimenti di dati UE-USA.
E riguardo al futuro? Quale sarà l’impatto riguardo il nuovo regolamento europeo per la protezione dei dati (GDPR) ?
il GDPR include già disposizioni dettagliate in materia di giurisdizione e trasferimenti di dati , ma vista la mancanza di un testo concordato e il protrarsi dell’attuazione del testo definitivo, non sembrano esserci soluzioni immediate per le aziende impattate dalla sentenza su “Safe Harbour” .
Qualche giorno fa ci sono state delle importanti dichiarazioni, prima a Strasburgo e poi ad Amsterdam, del commissario Věra Jourová . Lei ha detto che ci sono già in atto degli accordi con il Dipartimento del Commercio USA su una nuova versione di Safe Harbor. Tuttavia , è chiaro che permangono una serie di punti critici nei negoziati . Jourová ha detto che ci sono già stati diversi incontri a livello tecnico tra la commissione e gli Stati Uniti . Lei aveva parlato con Penny Pritzker, segretario al commercio degli USA, lo stesso giorno della sentenza. Jourová dice che ha pianificato di andare a Washington nella seconda metà di Novembre per discutere questo argomento. Per leggere i discorsi completi del commissario Věra Jourová, visualizzare i seguenti links:
http://europa.eu/rapid/press-release_SPEECH-15-5916_en.htm
http://europa.eu/rapid/press-release_SPEECH-15-5949_en.htm
Important statement 2 days ago by EU Commissioner Věra Jourová in a speech at Strasbourg . She said that there are agreements “in principle” already in place with the U.S. Department of Commerce on a new version of Safe Harbor.
However, it was clear that there remain a number of critical negotiating points.
Jourová said there have already been “several meetings at a technical level” between the Commission and the U.S. and that she had spoken with U.S. Commerce Secretary Penny Pritzker earlier that same day of the judgment.
for reading the complete speech follow this link :
http://europa.eu/rapid/press-release_SPEECH-15-5916_en.htm
Thank you Alessandro very interesting. I am organizing in Oracle a meeting to discuss these important topic. I will make sure to let you know the exact date…. Cloud Providers are putting a lot of attention to this.
The Spanish Data Protection Authority (AEPD ) published the guidelines to companies in order to regulate the data transfer to USA.
AEPD sent a letter to all spanish companies that required to adopt BCR.
The letter informs that not later than January 29, 2016 all companies will have to adapt to following:
The transfer is made with the data subject’s unambiguous consent;
is necessary for the performance of a contract with, or in the interests of, the data subject;
results from a treaty or convention to which Spain is a party;
is necessary or legally required to safeguard public interest, provide judicial aid, medical care, or support legal claims;
is necessary to protect the vital interests of the data subject;
or is made from a public register.
I think like to Spain, other authorities will write their guideline in the coming months
Last week i was in Italian autorithy (Garante per la protezione dei dati personali) and they said me that are working to define a decision regarding the CJEU judgment . Maybe until the end of the year they will publish it