Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Recentemente la Corte di Cassazione si è trovata ad affrontare il tema della qualificazione della causale di bonifico come dato sensibile ove indichi indennizzi elargiti per malattia o invalidità, esplicitati della dicitura “assegno ex l. 210/1992”, legge che riconosce le indennità a favore dei soggetti danneggiati da complicanze di tipo irreversibile a causa di vaccinazioni obbligatorie, trasfusioni e somministrazioni di sangue o, in caso di decesso, in favore dei congiunti delle vittime.

Sul punto i giudici della Suprema Corte si sono espressi a più riprese con orientamenti contrastanti. In tutti i casi esaminati la questione concerneva i rapporti tra la Regione, erogatrice dell’indennizzo e ordinatrice del bonifico, e la banca del soggetto menomato o contagiato, ricevente il bonifico per conto del suo correntista.

Nella prima pronuncia risalente al 2014 (sentenza del 19 maggio 2014, n. 10947), la Corte ha ritenuto la causale di bonifico recante i menzionati riferimenti legislativi alla stregua di un dato sensibile, evidenziando l’illecito trattamento dei dati da parte della Regione e della banca posto che nel diffondere e conservare tali dati non avevano adottato idonee tecniche di cifratura o numeri di codici non identificabili, come prescritto dall’art. 22, 6° comma del Codice in materia di protezione dei dati personali.

Nella seconda pronuncia – più articolata della precedente – (sentenza del 20 maggio 2015, n. 10280) i giudici supremi hanno ribaltato l’orientamento seguendo un iter decisionale del tutto opposto. In primo luogo, hanno negato alla causale di bonifico così compilata la natura di dato sensibile, rilevando come la legge a cui si faceva riferimento prevedeva che beneficiari dell’indennizzo potessero essere, alternativamente, i soggetti direttamente colpiti o anche i loro familiari. Dal momento che l’elargizione dell’assegno non dipendeva dalla malattia del soggetto che materialmente riceveva il bonifico, i giudici concludevano che l’informazione non fosse sufficiente a rivelare lo stato di salute del beneficiario e, dunque, non fosse dato sensibile.

In secondo luogo, secondo la Corte di Cassazione, non poteva parlarsi di “diffusione” di dati da parte della Regione alla banca giacché tale – a norma dell’art. 4, lett. m) del Codice – può considerarsi solo la comunicazione a soggetti indeterminati, mentre nel caso di specie la comunicazione avveniva solo nei confronti della banca del correntista beneficiario dell’indennizzo.

I giudici hanno poi rilevato che il riferimento all’art. 22, 6° comma del Codice Privacy era privo di fondamento posto che, come correttamente riportato, l’adozione di tecniche di cifratura risulta applicabile solo a casi specifici ove i dati provengano da elenchi o registri e la finalità sia quella di gestione ed interrogazione degli stessi. Neppure la banca poteva essere considerata onerata dell’adozione di tali misure per tre ragioni: la disposizione in oggetto si applicava ai soli soggetti pubblici; in capo ai soggetti privati sorgeva l’obbligo di cifratura solo per i dati idonei a rivelare lo stato di salute e se trattati con strumenti elettronici, condizioni entrambi assenti nel caso di specie; la comunicazione al proprio cliente di dati personali riguardanti esso stesso non costituiva trattamento.

Secondo la Cassazione, infine, la banca operava come rappresentante del correntista che riceveva il pagamento della Regione per conto di quest’ultimo: l’imputazione del pagamento dunque valeva come compiuta dal debitore (Regione) direttamente al creditore (beneficiario dell’assegno).

La Suprema Corte ha così ritenuto legittime le condotte della Regione e della banca, non ravvisando alcun trattamento illecito di dati personali.

Il tema è tornato recentemente all’attenzione della Prima sezione civile della Corte di Cassazione, la quale con due ordinanze interlocutorie (rispettivamente nn. 3455 e 3456 depositate il 9 febbraio 2017) ha demandato alle Sezioni Unite il compito di sanare il contrasto giurisprudenziale in oggetto. In tale occasione, senza aderire all’uno o all’altro orientamento, la Cassazione si è solo espressa circa la qualificazione dell’indicazione dei riferimenti normativi nella causale del bonifico come “dato sensibile”, precisando che, sebbene il pagamento possa avvenire tanto nei confronti dei congiunti quanto del soggetto contagiato o menomato, solo verso quest’ultimo il pagamento sarebbe corrisposto in rate (mentre ai congiunti sarebbe corrisposta una somma una tantum). Tale forma di pagamento sarebbe dunque idonea a identificare inequivocabilmente il soggetto destinatario del pagamento come vittima di contagio o menomazione e, per tale motivo, l’indicazione del pagamento dei ratei costituirebbe dato sensibile.

Si rimane dunque in attesa di conoscere come le Sezioni Unite risolveranno il contrasto giurisprudenziale appena descritto e, in particolare, se daranno un’interpretazione estensiva o restrittiva al concetto di dato sensibile.

Il Garante privacy che ha vietato a una società l’uso delle utenze telefoniche reperite on line a fini promozionali in base al mancato consenso degli interessati.

Il fatto che alcuni numeri di telefono presenti in Internet siano liberamente accessibili a chiunque non significa che possano essere legittimamente usati per finalità che, come il marketing, sono diverse da quelle per cui sono stati pubblicati. Con questa motivazione il Garante ha vietato l’uso dei numeri di telefono raccolti da una società che per acquisire nuovi clienti e promuovere i propri prodotti contattava telefonicamente utenze di liberi professionisti e imprese individuali presenti nell’area “contatti” dei siti. Un trattamento non in linea con la disciplina di protezione dei dati personali perché effettuato senza aver prima acquisito il consenso informato dei destinatari e in violazione del principio di finalità.

Tra i clienti che non hanno potuto manifestare il libero e specifico consenso per l’invio di comunicazioni automatizzate promozionali, oltre a imprese individuali e liberi professionisti, vi erano anche numerose persone giuridiche, che in base all’art. 130 del Codice, continuano ad essere tutelate riguardo alle comunicazioni promozionali automatizzate (e-mail, telefonate, sms).

L’Autorità si è riservata di valutare l’applicazione delle sanzioni amministrative previste dal Codice per le violazioni rilevate.

I datori di lavoro non possono accedere in maniera indiscriminata alle email o ai dati contenuti negli smartphone in dotazione ai loro dipendenti. Lo ha ribadito il Garante privacy vietando a una multinazionale l’utilizzo dei dati personali trattati in violazione di legge.

L’Autorità ha affermato che il datore di lavoro, pur avendo la facoltà di verificare lo svolgimento delle attività professionali e le modalità di utilizzo degli strumenti aziendali, deve in ogni caso dare priorità alla salvaguardia della libertà e della dignità dei lavoratori. Quest’ultimi devono essere sempre informati in modo esauriente sulle modalità di utilizzo degli strumenti di lavoro ed eventuali verifiche da parte dei superiori. La disciplina di settore in materia di controlli a distanza, inoltre, vieta di effettuare attività di controllo massivo, anche indiretto, prolungato e indiscriminato dell’attività del lavoratore.

Il Garante è intervenuto sul tema in seguito al reclamo di un ex-dipendente di una multinazionale, che lamentava che l’azienda per cui lavorava avrebbe acquisito informazioni anche private contenute nella e-mail e nel telefono aziendale, sia durante il rapporto professionale sia dopo il suo licenziamento.

L’Autorità ha effettivamente constatato che la società non aveva adeguatamente informato i lavoratori sulle modalità e finalità di utilizzo degli strumenti elettronici in dotazione, né su quelle relative al trattamento dei dati. Inoltre, il sistema di posta elettronica aziendale era configurato in modo da conservare copia di tutta la corrispondenza per dieci anni, un tempo non proporzionato allo scopo della raccolta. Esisteva anche una procedura che consentiva ai datori di lavoro di accedere al contenuto dei messaggi che, in linea con la policy aziendale, potevano avere anche carattere privato. È inoltre emerso che la società continuava a mantenere attive le caselle email fino a sei mesi dopo la cessazione del contratto, senza però dare agli ex dipendenti la possibilità di consultarle o, comunque, senza informare i mittenti che le lettere non sarebbero state visionate dai legittimi destinatari ma da altri soggetti.

Nel corso dell’istruttoria è stato accertato inoltre, che il titolare poteva accedere da remoto – non solo per attività di manutenzione – alle informazioni contenute negli smartphone in dotazione ai dipendenti (anche privatissime e non attinenti allo svolgimento dell’attività lavorativa), di copiarle o cancellarle, di comunicarle a terzi violando i principi di liceità, necessità, pertinenza e non eccedenza del trattamento.

Il Garante ha disposto l’apertura di un autonomo procedimento per verificare l’applicazione di eventuali sanzioni amministrative.

ratingBlackMirror

Il rating reputazionale rappresentato nell'episodio "Nosedive" della serie Tv "Black Mirror"

Il progetto per la misurazione del “rating reputazionale” viola le norme del Codice sulla protezione dei dati personali e incide negativamente sulla dignità delle persone, lo ha stabilito il Garante per la protezione dei dati personali.

Elaborato da un’associazione e e da una società preposta alla gestione dell’iniziativa, il progetto consiste in una piattaforma web e un archivio informatico che raccoglie grande quantità informazioni personali su diversi tipi di individui (candidati, imprenditori, liberi professionisti ma anche privati cittadini) caricate dagli utenti o provenienti dal web. Attraverso un algoritmo, il sistema sarebbe poi in grado di misurare in modo oggettivo l’affidabilità delle persone in campo economico e professionale, attribuendo un punteggio (rating) alla loro reputazione online.

Il Garante ha rilevato che il sistema comporta rilevanti problematiche per la privacy a causa della delicatezza delle informazioni, del pervasivo impatto sugli interessati e delle modalità di trattamento. Infatti, il progetto presuppone una raccolta massiva, anche on line, di informazioni suscettibili di incidere significativamente sulla rappresentazione economica e sociale di migliaia di cittadini. Il “rating reputazionale” elaborato potrebbe ripercuotersi sulla vita delle persone censite, influenzando le scelte altrui e condizionando l’ammissione degli interessati a prestazioni, servizi o benefici.

L’Autorità ha espresso dubbi anche in merito all’asserita oggettività delle valutazioni, sottolineando che la società non è stata in grado di dimostrare l’efficacia dell’algoritmo che regolerebbe la determinazione dei “rating” al quale dovrebbe essere rimessa, senza possibilità di contestazione, la valutazione dei soggetti censiti. Vista la difficoltà di misurare situazioni e variabili non facilmente classificabili, la valutazione potrebbe basarsi su documenti e certificati incompleti o viziati, con il rischio di creare profili inesatti e non rispondenti alla identità sociale delle persone censite.

Da un punto di vista generale, il Garante ha inoltre manifestato perplessità sull’opportunità di rimettere ad un sistema automatizzato ogni decisione su aspetti così delicati e complessi come quelli connessi alla reputazione.

Anche le misure di sicurezza del sistema, basate, prevalentemente, su sistemi di autenticazione “debole” (user id e password) e su meccanismi di cifratura dei soli dati giudiziari, sono state definite “davvero inadeguate” dall’Autorità Ulteriori criticità, infine, sono state ravvisate nei tempi di conservazione dei dati e nell’informativa da rendere agli interessati.

Il Garante ha pertanto disposto il divieto di qualunque operazione di trattamento presente e futura per il progetto di rating reputazionale.

Il 10 gennaio 2017 la Commissione ha presentato una proposta di regolamento sulle comunicazioni elettroniche che completa il quadro dell’UE in materia di protezione dei dati.

Il regolamento sulla riservatezza e le comunicazioni elettroniche proposto dalla Commissione garantirà una maggiore tutela della vita privata delle persone e schiuderà nuove opportunità commerciali. Le misure presentate sono volte ad aggiornare le norme attuali, estendendone il campo di applicazione a tutti i fornitori di servizi di comunicazione. Le norme in materia di riservatezza si applicheranno d’ora in poi anche ai nuovi operatori che forniscono servizi di comunicazione elettronica – ad esempio WhatsApp, Facebook Messenger, Skype, Gmail, iMessage, Viber. Sarà quindi aggiornata la vigente direttiva ePrivacy che si applica unicamente agli operatori di telecomunicazioni tradizionali.

L’obiettivo è quello di rafforzare la fiducia e la sicurezza nel mercato unico digitale creando un giusto equilibrio tra elevata protezione dei consumatori e possibilità di innovazione per le imprese. La proposta inoltre prevede che il trattamento dei dati personali ad opera delle istituzioni e degli organismi dell’UE garantisca lo stesso livello di tutela della riservatezza previsto negli Stati membri, così come disposto dal regolamento generale sulla protezione dei dati, e definisce un approccio strategico alle questioni concernenti i trasferimenti internazionali dei dati personali.

La riservatezza sarà garantita non solo per i contenuti delle comunicazioni ma anche per i cosiddetti metadati (ad esempio, l’ora della chiamata e il luogo) che, secondo le norme proposte, dovranno essere anonimizzati o eliminati in caso di mancato consenso degli utenti, a meno che non siano necessari, ad esempio per la fatturazione. Una volta ottenuto il consenso al trattamento dei dati relativi alle comunicazioni (contenuti e/o metadati), gli operatori di telecomunicazioni tradizionali avranno maggiori opportunità di utilizzare i dati e fornire servizi aggiuntivi.

È prevista la semplificazione della cosiddetta “legge sui cookie”, che ha causato una proliferazione di richieste di consenso per gli utenti. La proposta chiarisce che il consenso non è necessario per i cookie non intrusivi che migliorano l’esperienza degli utenti (ad esempio, quelli che permettono di ricordare la cronologia del carrello degli acquisti) e nemmeno per i cookie che contano il numero di utenti che visitano un sito web.

Per quanto riguarda lo spamming, la proposta odierna vieta le comunicazioni elettroniche indesiderate, indipendentemente dal mezzo utilizzato, quindi in linea di principio varrà anche per le chiamate telefoniche per le quali gli utenti non hanno dato il consenso al trattamento dei dati. Gli Stati membri possono optare per una soluzione che conferisca ai consumatori il diritto di opporsi alla ricezione delle telefonate a scopo commerciale, per esempio mediante la registrazione del loro numero in un elenco di nominativi da non chiamare. Gli autori delle telefonate a scopo commerciale dovranno mostrare il proprio numero telefonico o utilizzare un prefisso speciale che indichi la natura della chiamata.

In relazione all protezione dei dati personali da parte delle istituzioni e degli organismi europei il regolamento proposto punta ad allineare le disposizioni vigenti, che risalgono al 2001, alle nuove norme più stringenti fissate nel regolamento generale del 2016 sulla protezione dei dati.

La comunicazione proposta definisce un approccio strategico ai trasferimenti internazionali di dati personali che agevolerà gli scambi commerciali e promuoverà una migliore cooperazione fra le autorità di contrasto.  La Commissione intende avvalersi dei meccanismi alternativi previsti dalle norme del regolamento generale sulla protezione dei dati e dalla direttiva sulla protezione dei dati nell’ambito della cooperazione giudiziaria e di polizia al fine di agevolare lo scambio di dati personali con i paesi terzi con i quali non sia possibile giungere a decisioni di adeguatezza.

Con la presentazione delle proposte la Commissione invita il Parlamento europeo e il Consiglio a lavorare in tempi rapidi e a garantire un processo agevole per l’adozione entro il 25 maggio 2018, data di applicazione del regolamento generale sulla protezione dei dati. L’intento è quello di offrire entro tale data a cittadini e imprese un quadro giuridico pieno e completo in materia di tutela della vita privata e protezione dei dati in Europa.

Pubblicate le linee guida dei Garanti privacy europei relative all’attuazione del nuovo Regolamento privacy. Le linee guida riguardano, in particolare, il “responsabile per la protezione dei dati” (Data Protection Officer – DPO), il diritto alla portabilità dei dati, e la ”autorità capofila” che fungerà da “sportello unico” per i trattamenti transnazionali.

Il 13 dicembre 2016 il Gruppo dei Garanti Ue riuniti nell’Article 29 Working Party ha approvato tre documenti con indicazioni e raccomandazioni sulle novità del Regolamento 2016/679 sulla protezione dei dati, che dovrà essere applicato dagli Stati membri a partire dal maggio 2018.

Per quanto riguarda il Data Protection officer, la cui designazione sarà obbligatoria per tutti i soggetti pubblici e per alcuni soggetti privati sulla base di criteri chiariti nel documento, vengono specificati i requisiti soggettivi e oggettivi di questa figura, tra cui le competenze professionali e le garanzie di indipendenza e inamovibilità di cui il DPO deve godere nello svolgimento delle proprie attività di indirizzo e controllo all’interno dell’organizzazione del titolare.

Per quanto riguarda il diritto alla portabilità, si evidenzia il suo valore di strumento per l’effettiva libertà di scelta dell’utente, che potrà decidere di trasferire altrove i dati personali forniti direttamente al titolare del trattamento (social network, fornitore di posta elettronica etc.) oppure generati dall’utente stesso navigando in rete. Il documento esamina anche gli aspetti tecnici legati soprattutto ai requisiti di interoperabilità fra i sistemi informatici e alla necessità di sviluppare applicazioni che facilitino l’esercizio del diritto.

Infine, le linee guida hanno chiarito le caratteristiche di un elemento importante del nuovo quadro normativo, che aiuterà i titolari o responsabili del trattamento a individuare correttamente l’Autorità competente nei casi in cui il titolare o il responsabile trattino dati personali in più stabilimenti nell’Ue o offrano prodotti o servizi in più Paesi Ue anche a partire da un solo stabilimento. Per evitare controversie e garantire un’attuazione efficace del Regolamento i Garanti Ue hanno chiarito i criteri per la individuazione della “Autorità capofila” che deve fungere da “sportello unico” per i trattamenti transnazionali.

Su ciascuno di questi documenti, disponibili per ora solo in lingua inglese cliccando QUI, il Garante predisporrà delle apposite schede di approfondimento volte a far meglio comprendere e utilizzare i nuovi strumenti introdotti dal Regolamento.

posted by admin on dicembre 12, 2016

Diritto all'oblio

(No comments)

Nelle vicende giudiziarie di grave entità l’interesse pubblico a conoscere le notizie prevale sul diritto all’oblio delle persone coinvolte.

Con questa motivazione il Garante privacy ha dichiarato infondata la richiesta di deindicizzazione di alcuni articoli presentata da un ex consigliere comunale. L’uomo era stato coinvolto nel 2006 in un processo per corruzione e truffa, che nel 2012 si era concluso con sentenza di patteggiamento e pena interamente coperta da indulto.

Dopo essersi rivolto a Google invano, l’ex consigliere aveva presentato ricorso al Garante chiedendo la rimozione di alcuni url relativi all’indagine in cui era rimasto coinvolto, che apparivano nei risultati delle ricerche associate al suo nome. Secondo l’uomo, la permanenza in rete di tali notizie, risalenti a circa dieci anni prima e ormai prive di interesse, gli avrebbe causato un danno all’immagine, alla vita privata e all’attuale attività lavorativa, peraltro non più connessa ad incarichi pubblici.

In accordo con le Linee guida dei Garanti europei, l’Autorità ha sottolineato che sebbene il trascorrere del tempo sia la componente essenziale del diritto all’oblio, questo elemento incontra un limite quando le informazioni di cui si chiede la deindicizzazione siano riferite a reati gravi e che hanno destato un forte allarme sociale. Inoltre, nonostante fosse trascorso un certo lasso di tempo dai fatti riportati negli articoli, nel caso specifico meritava considerazione il fatto che la vicenda giudiziaria si fosse definita solo pochi anni prima. Oltre a ciò, alcuni url richiamavano la notizia in articoli relativi ad una maxi inchiesta sulla corruzione pubblicati fino al 2015 e la loro relativa attualità dimostra l’interesse ancora vivo e attuale dell’opinione pubblica.

European-unionIl parlamento europeo ha approvato l’accordo UE-USA per la protezione dei dati personali scambiati a fini di contrasto alla criminalità, volto a garantire standard alti e vincolanti per la protezione dei dati personali trasferiti per attivitè di cooperazione giudiziaria e di polizia.

L’accordo, chiamato “Umbrella Agreement”,  si applica al trasferimento di tutti i dati personali, quali nomi, indirizzi o precedenti penali, scambiati tra l’Unione europea e gli Stati Uniti a scopi di prevenzione, individuazione, indagine e perseguimento di reati, compreso il terrorismo. Dopo sei anni di negoziati, il Parlamento ha dato il suo consenso e spianato la strada al Consiglio per approvare la decisione finale che ne conclude l’iter.

“L’accordo non rappresenta una base giuridica per il trasferimento dei dati, ma protegge i dati che sono già scambiati legalmente. Le autorità per la protezione dei dati possono verificare il rispetto in qualsiasi momento”, ha dichiarato il relatore Jan Philipp Albrecht (Verdi, DE).

L’accordo prevede che i cittadini di entrambe le sponde dell’Atlantico abbiano diritto ad essere informati in caso di violazioni della sicurezza dei dati, a  poter correggere le informazioni inesatte e a chiedere il risarcimento dei danni. Stabilisce, inoltre, i limiti per trasferimenti di dati successivi e del periodo di conservazione degli stessi.

Le postille a fine articolo non sono sufficienti. I diritti delle persone che chiedono di aggiornare i dati devono essere garantiti con una maggiore visibilità.

L’aggiornamento di un articolo online deve essere immediatamente visibile al lettore, sia nel titolo sia nella cosiddetta preview, l’anteprima del contenuto. Lo ha affermato il Garante privacy accogliendo parzialmente il ricorso di un uomo che, coinvolto in una vicenda giudiziaria quando rivestiva un ruolo pubblico, era stato poi scagionato.

L’uomo si era rivolto al Garante lamentando che la presenza in rete di “vecchie” informazioni arrecava un danno alla sua reputazione, personale e professionale, non corrispondendo a quanto realmente avvenuto, come dimostrato dalla successiva archiviazione del procedimento penale a suo carico. In particolare l’uomo non era soddisfatto dalle modalità adottate da un quotidiano online, che si era limitato ad inserire una breve nota alla fine di due articoli dei quali aveva chiesto l’aggiornamento.

Seppur ritenendo lecito il trattamento dei dati contenuti negli articoli presenti nell’archivio online del quotidiano, l’Autorità ha rilevato che il diritto della persona di ottenere l’aggiornamento delle informazioni che lo riguardano deve essere rispettato e, per salvaguardare l’attuale identità sociale della persona, le modifiche all’articolo devono essere effettive e non limitate ad una postilla poco visibile.

Non giudicando quindi adeguate le modalità scelte dall’editore, il Garante ha chiesto di rendere visibile, sia nel titolo che nelle preview, l’esistenza di sviluppi della vicenda: mediante, ad esempio, una nota accanto o sotto il titolo dell’articolo.

Il Garante per la privacy ha autorizzato il trasferimento di dati personali dal territorio italiano verso le organizzazioni presenti negli Stati Uniti che figurano nell’elenco degli aderenti al “Privacy Shield”. Nel frattempo, la Corte di Giustizia Europea è chiamata a verificarne la validità.

La nuova autorizzazione (provvedimento del 27 ottobre 2016, pubblicato in Gazzetta Ufficiale il 22 novembre 2016)  sostituisce quella basata sull’accordo “Safe Harbor”, che regolava il trasferimento dei dati verso gli Stati Uniti, dichiarato invalido dalla Corte di Giustizia dell’Unione Europea il 6 ottobre 2015.

La Corte aveva bocciato il “Safe Harbor” accogliendo il ricorso di un cittadino austriaco, Max Schrems, che, muovendo dalle rivelazioni di Edward Snowden sulle violazioni al diritto alla riservatezza da parte della National Security Agency americana, riteneva il diritto e le prassi statunitensi non sufficienti alla protezione dei dati trasferiti dall’Europa.

Con il nuovo accordo, le società private possono accreditarsi per il Privacy Shield presso il Dipartimento del Commercio degli Stati Uniti che verificherà se le policy aziendali sono in linea con lo standard di protezione dei dati richiesta dall’Unione Europea.

Con il provvedimento del Garante, l’Italia si conforma alla decisione della Commissione europea del 12 luglio 2016 che ha riconosciuto al nuovo accordo denominato “EU-U.S. Privacy Shield” un livello adeguato di protezione dei dati personali trasferiti dall’Unione europea ad organizzazioni residenti negli Stati Uniti “certificate” ai sensi dell’accordo.

Il Garante ha specificato che l’Autorità italiana si riserva di effettuare in qualsiasi momento controlli per verificare la liceità e la correttezza del trasferimento dei dati e di ogni operazione ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice privacy. La Commissione, da parte sua, sottoporrà a monitoraggio il funzionamento dello “Scudo” per verificare se gli Stati Uniti continuino a garantire un livello di protezione adeguato. Le verifiche avverranno a cadenza annuale, mentre una, in particolare, è prevista a seguito dell’entrata in vigore del Regolamento sulla protezione dei dati.

Tuttavia, a distanza di pochi mesi dall’entrata in vigore del testo, la Corte di Giustizia europea è stata chiamata a pronunciarsi sull’adeguatezza della tutela assicurata dal Privacy Shield. Infatti, alcune società attive nel campo digitale e operanti trasferimenti di dati personali all’estero sostengono che il Privacy Shield non offra un adeguato livello di protezione.

In particolare, i ricorrenti sostengono che lo “scudo” UE-USA per la privacy non recepisca integralmente i princìpi e i diritti a tutela della protezione dei dati personali contenuti nella direttiva 95/46/CE (che – si ricorda – sarà abrogata a decorrere dal 2018 ad opera del recente Regolamento UE 679/2016) e, conseguentemente, non assicuri in modo adeguato i diritti dei cittadini europei. Nei ricorsi si contesta inoltre che l’accordo non esclude l’accesso indiscriminato alle comunicazioni elettroniche da parte delle autorità straniere così violando il diritto al rispetto alla vita privata, alla protezione dei dati e la libertà di espressione di cui alla Carta dei diritti fondamentali dell’Unione europea (per un approfondimento sul tema si rimanda a QUESTO post).

Come precedentemente evidenziato su questo blog, la decisione nel caso Schrems segna un ulteriore passo verso l’affermazione di un modello europeo contrapposto a quello statunitense e la primazia del controllo giudiziario sugli accordi UE/USA. Per offrire una ampia analisi dell’attuale contesto giuridico, è stato pubblicato il volume “La protezione transnazionale dei dati personali dai “safe harbour principles” al “privacy shield””, curato da Giorgio Resta e Vincenzo Zeno-Zencovich, in cui dodici studiosi analizzano la nuova decisione sotto molteplici aspetti giuridici, prospettando interpretazioni e prospettive anche alla luce del “Privacy Shield” che dovrebbe governare la circolazione trans-atlantica dei dati.

Nel capitolo “La giurisprudenza della Corte di Giustizia in materia di dati personali da Google Spain a Schrems” Giusella Finocchiaro approfondisce le tematiche alla base delle sentenze della Corte di Giustizia.

Il volume è pubblicato sotto licenza “creative commons” ed è dunque liberamente consultabile e disponibile per il download gratuito a QUESTA pagina.