Best Practices and Certifications for Cloud Computing Security

Il Safe Harbor ora è veramente “morto”: e adesso?

Il Garante per la protezione dei dati ha emesso, venerdì scorso (6 novembre) un comunicato per preannunciare, a seguito della recente sentenza della Corte di Giustizia dell’Unione Europea, la pubblicazione in Gazzetta Ufficiale del Provvedimento del 22 ottobre 2015 (doc. web. n. 4396484) con il quale dichiara decaduta l’autorizzazione del 2001 che consentiva i trasferimenti di dati verso gli Stati Uniti sulla base del cosiddetto accordo “Safe Harbor” e quindi vieta ai soggetti esportatori di trasferire, sulla base di tale delibera e dei presupposti indicati nella medesima, i dati personali dal territorio dello Stato verso gli Stati Uniti d’America.

Rimane quindi lecito il trasferimento dei dati personali verso gli Usa se basati sull’adozione di clausole contrattuali standard approvati dalla Commissione Europea o in forza delle Binding Corporate Rules (BCR) oltre, ovviamente alle altre ipotesi contemplate dagli artt. 43 e 44 codice privacy (ad es. il consenso dell’interessato).

Le implicazioni di tale provvedimento sono molteplici sia dal punto di vista normativo, sia economico commerciale. Sotto il primo profilo si ricorda che un eventuale trasferimento basato solo sul Safe Harbor può comportare una responsabilità anche penale per trattamento illecito dei dati ed una responsabilità civile (se dimostrato il danno) aggravata dal fatto che una eventuale polizza assicurativa di responsabilità civile a copertura dei rischi per il trattamento dei dati non sarebbe invocabile. Sotto il secondo profilo si evidenzia come l’adozione di clausole contrattuali standard non sia una strada praticabile in tempi rapidi per le decine di migliaia di aziende americane coinvolte (sempre che vogliano poi adeguarsi ai dettati europei) e come il provvedimento italiano sia più draconiano rispetto alle indicazioni del WP29 del 16 ottobre 2015 che indica la fine del mese di gennaio 2016 per permettere di trovare un’adeguata soluzione con le autorità americane (Safe Harbor 2.0?) proprio in considerazione delle tempistiche dell’adozione di clausole contrattuali standard o delle BCR oppure per la concreta difficoltà di ottenere, realisticamente ed in molti contesti, il consenso degli interessati.

Rimane nel frattempo salva anche la possibilità per ogni singola organizzazione o per ciascun professionista di richiedere al Garante, ex art. 44 codice privacy (ma fuori dai criteri delle clausole standard o dalle BCR), una specifica autorizzazione ad esportare i dati verso un determinato soggetto USA; sperando in un risposta autorizzativa molto celere (entro 45 gg. come da tabella B Regolamento n. 2/2007 dd. 14.12.2007 del Garante).

Ai nostri associati ed ai nostri partner/sponsor vogliamo dire che CSA Italy continuerà a monitorare tale tematica di non certo facile soluzione, senza cadere in facili ed improduttivi allarmismi o in sterili polemiche ma utilizzando gli strumenti istituzionali dell’informazione e dello studio con una particolare attenzione alla concreta realtà economica in cui si incardina quotidianamente il Cloud Computing.

 

avv. Valerio Vertua                                                                        

Vice Presidente  con delega affari legali

dott. Gloria Marcoccio

Coordinatore dell’Area di Ricerca Legal & Privacy in the Cloud

Comments are currently closed.