Due decenni fa, l’Unione Europea ha approvato una direttiva sulla protezione dei dati che ha rivoluzionato il mondo della privacy dei cittadini. Le aziende di tutto il mondo si sono dovute velocemente adeguare a questa direttiva, implementando sistemi di protezione dei dati che corrispondessero ai parametri dettati dal governo dei Paesi membri.
Lo scorso ottobre, l’Unione Europea ha annullato il Safe Harbor (letteralmente: porto sicuro), ovvero l’accordo tra il Dipartimento del Commercio degli Stati Uniti e i Paesi europei che regolamentava il modo in cui le aziende americane potevano esportare e potevano esportare e gestire i dati personali dei cittadini europei. Come risolvere i rapporti in modo conforme alle normative, continuando a gestire le operazioni commerciali tra i due blocchi, in ottemperanza alla Privacy?
Perché la Ue ha annullato il Safe Harbor
Il Safe Harbor attuava la direttiva Ue 95/46 entrata in vigore nell’ottobre 1998 sulla protezione dei dati personali e riguardava tute le società che immagazzinano i dati dei clienti, coinvolgendo tutte quelle organizzazioni attive nei business on line, a partire da Facebook e Google. L’obiettivo dell’accordo? Impedire la perdita accidentale o la rivelazione di dati personali.
Lo scorso mese di ottobre, a quasi vent’anni dell’approvazione della direttiva sulla protezione di dati, le corti europee, dopo le rivelazioni di Edward Snowden riguardanti la sorveglianza da parte della NSA dei cittadini statunitensi, hanno decisi di invalidare il Safe Harbor.
La decisione della Corte di Giustizia dell’Unione Europea ha una ricaduta immediata su oltre 4.500 aziende americane, che ora devono intraprendere un’azione rapida e decisa per rimanere compatibili con le direttive dell’Unione Europea.
Quali sono le direttive europee sulla Privacy?
Le direttive riguardanti la protezione dei dati dei cittadini europei è uno dei più forti e complessi regimi di privacy dei dati di tutto il mondo. Le aziende che operano in Europa devono adottare misure specifiche per garantire il rispetto dei sette principi fondamentali della direttiva sulla gestione dei dati:
- comunicazione
- uso
- consenso
- sicurezza
- divulgazione
- accesso
- responsabilità
La direttiva sulla protezione dei dati comprende anche alcune restrizioni che limitano il trasferimento dei dati personali dei cittadini al di fuori dell’Unione Europea. Ed è qui che entra in gioco il Safe Harbor.
Cos’è il Safe Harbor?
Le autorità di regolamentazione dell’Unione Europea hanno riconosciuto che sarebbe impraticabile vietare il trasferimento dei dati personali dei cittadini al di fuori dell’Unione, perché interromperebbe il business internazionale. Immaginate, ad esempio, un mondo dove una società internazionale con sede a New York non posa tenere i rapporti con i propri dipendenti della sede europea. La maggior parte delle aziende americane che devono ottenere e trasferire dati personali tra gli Stati Uniti e l’Unione Europe sono state legittimate in questa transazione dei dati, nel rispetto dell’accordo stipulato tra il Dipartimento del Commercio degli Stati Uniti e l’Unione europea. In base a questo accordo le società statunitensi hanno così potuto possono autocertificarsi presso il Dipartimento del Commercio e rilasciare una dichiarazione pubblica di essere conformi allenormative della Privacy europea. Questo è stato il percorso più semplice per le aziende per essere conformi alle direttive sulla protezione dei dati stipulate dall’Unione Europea, evitando così anche manovre legali più complesse.
Cosa è cambiato e cosa succederà?
Il 6 ottobre 2015 la Corte di Giustizia dell’Unione Europea ha emesso una sentenza che di fatto annulla in toto l’accordo Safe Harbor tra Unione Europea e Stati Uniti. Questa decisione di fatto ha annullato tutti gli accordi relativi alla condivisione dei dati tra UE e USA, mettendo le aziende dei due continenti in stato di agitazione. La Corte di Giustizia dell’Unione Europea è la più alta in grado dell’Unione, e ha potere di emettere sentenze a riguardo dell’interpretazione del diritto dell’Unione Europea. Per questo motivo, è chiaro che mai e poi mai l’accordo Safe Harbor, tra Stati Uniti e Unione Europea tornerà ad essere valido.
Gli avvocati dei entrambe le sponde dell’oceano Atlantico si stanno mobilitando per sviluppare alternative all’accordo Safe Harbor, per far si che, in un momento di crisi economica internazionale, questo veto imposto dalla Corte di Giustizia Europea non blocchi il business tra aziende americane ed europee. Al 1 Novembre 2015, c’erano 5.498 aziende nell’elenco del Dipartimento del Commercio che erano conformi all’accordo Safe Harbor. Nella maggior parte delle interpretazioni della decisione della Corte di Giustizia dell’Unione Europea tutte queste aziende sono improvvisamente non conforme con la direttiva sulla protezione di dati dell’Unione Europea e quindi non potranno trasferire le informazioni personali dei propri dipendenti dall’Unione Europea agli Stati Uniti.
Come procedere nel frattempo
Fortunatamente ci sono altri metodi legali per le aziende per essere conformi alle direttive europee sulla protezione dei dati. Le aziende internazionali coinvolte in questa procedura dovrebbero prendere velocemente in esame queste tre opzioni:
- Determinare accordi legali specifici che legittimano la condivisione dei dati. Questi accordi si devono presentare sotto forma di adozione di un contratto tra aziende che condividono dai o che adottano regole societarie vincolanti per la condivisione dei dati intra-aziendali.
- Ottenere il consenso delle persone che devono per forza di cose esportare i propri dati al di là dell’Oceano Atlantico. Questa opzione è molto pratica e facilmente attuabile se si parla dei dipendenti dell’azienda. Lo stesso non fattibile nei casi che coinvolgono le informazioni di migliaia di consumatori.
- Sospendere temporaneamente la condivisione delle informazioni private tra Unione Europea e Stati Unitii fino a quando questa situazione verrà risolta. Il Dipartimento del Commercio statunitense sta lavorando su un nuovo accordo di condivisione dei dati con l’Unione europea che può ripristinare questa opzione per le società statunitensi. Tuttavia, non c’è un calendario fissato per l’adozione di un nuovo accordo, e si sceglie questo percorso c’è il pericolo di rimanere nell’incertezza per un periodo di tempo prolungato.
Nel frattempo, gli esperti italiani aiutano le aziende a capire gli orientamenti del Garante.