Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Il Garante per la privacy ha autorizzato il trasferimento di dati personali dal territorio italiano verso le organizzazioni presenti negli Stati Uniti che figurano nell’elenco degli aderenti al “Privacy Shield”. Nel frattempo, la Corte di Giustizia Europea è chiamata a verificarne la validità.

La nuova autorizzazione (provvedimento del 27 ottobre 2016, pubblicato in Gazzetta Ufficiale il 22 novembre 2016)  sostituisce quella basata sull’accordo “Safe Harbor”, che regolava il trasferimento dei dati verso gli Stati Uniti, dichiarato invalido dalla Corte di Giustizia dell’Unione Europea il 6 ottobre 2015.

La Corte aveva bocciato il “Safe Harbor” accogliendo il ricorso di un cittadino austriaco, Max Schrems, che, muovendo dalle rivelazioni di Edward Snowden sulle violazioni al diritto alla riservatezza da parte della National Security Agency americana, riteneva il diritto e le prassi statunitensi non sufficienti alla protezione dei dati trasferiti dall’Europa.

Con il nuovo accordo, le società private possono accreditarsi per il Privacy Shield presso il Dipartimento del Commercio degli Stati Uniti che verificherà se le policy aziendali sono in linea con lo standard di protezione dei dati richiesta dall’Unione Europea.

Con il provvedimento del Garante, l’Italia si conforma alla decisione della Commissione europea del 12 luglio 2016 che ha riconosciuto al nuovo accordo denominato “EU-U.S. Privacy Shield” un livello adeguato di protezione dei dati personali trasferiti dall’Unione europea ad organizzazioni residenti negli Stati Uniti “certificate” ai sensi dell’accordo.

Il Garante ha specificato che l’Autorità italiana si riserva di effettuare in qualsiasi momento controlli per verificare la liceità e la correttezza del trasferimento dei dati e di ogni operazione ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice privacy. La Commissione, da parte sua, sottoporrà a monitoraggio il funzionamento dello “Scudo” per verificare se gli Stati Uniti continuino a garantire un livello di protezione adeguato. Le verifiche avverranno a cadenza annuale, mentre una, in particolare, è prevista a seguito dell’entrata in vigore del Regolamento sulla protezione dei dati.

Tuttavia, a distanza di pochi mesi dall’entrata in vigore del testo, la Corte di Giustizia europea è stata chiamata a pronunciarsi sull’adeguatezza della tutela assicurata dal Privacy Shield. Infatti, alcune società attive nel campo digitale e operanti trasferimenti di dati personali all’estero sostengono che il Privacy Shield non offra un adeguato livello di protezione.

In particolare, i ricorrenti sostengono che lo “scudo” UE-USA per la privacy non recepisca integralmente i princìpi e i diritti a tutela della protezione dei dati personali contenuti nella direttiva 95/46/CE (che – si ricorda – sarà abrogata a decorrere dal 2018 ad opera del recente Regolamento UE 679/2016) e, conseguentemente, non assicuri in modo adeguato i diritti dei cittadini europei. Nei ricorsi si contesta inoltre che l’accordo non esclude l’accesso indiscriminato alle comunicazioni elettroniche da parte delle autorità straniere così violando il diritto al rispetto alla vita privata, alla protezione dei dati e la libertà di espressione di cui alla Carta dei diritti fondamentali dell’Unione europea (per un approfondimento sul tema si rimanda a QUESTO post).

Come precedentemente evidenziato su questo blog, la decisione nel caso Schrems segna un ulteriore passo verso l’affermazione di un modello europeo contrapposto a quello statunitense e la primazia del controllo giudiziario sugli accordi UE/USA. Per offrire una ampia analisi dell’attuale contesto giuridico, è stato pubblicato il volume “La protezione transnazionale dei dati personali dai “safe harbour principles” al “privacy shield””, curato da Giorgio Resta e Vincenzo Zeno-Zencovich, in cui dodici studiosi analizzano la nuova decisione sotto molteplici aspetti giuridici, prospettando interpretazioni e prospettive anche alla luce del “Privacy Shield” che dovrebbe governare la circolazione trans-atlantica dei dati.

Nel capitolo “La giurisprudenza della Corte di Giustizia in materia di dati personali da Google Spain a Schrems” Giusella Finocchiaro approfondisce le tematiche alla base delle sentenze della Corte di Giustizia.

Il volume è pubblicato sotto licenza “creative commons” ed è dunque liberamente consultabile e disponibile per il download gratuito a QUESTA pagina.

Si discute nuovamente di Privacy Shield, l’accordo regolatore dei flussi transfrontalieri di dati tra Unione europea e Stati Uniti che di recente ha sostituito il previgente Safe Harbor.

A distanza di pochi mesi dall’entrata in vigore del testo, la Corte di Giustizia europea è chiamata a decidere sull’adeguatezza della tutela assicurata dal Privacy Shield.

Alcune società attive nel campo digitale e operanti trasferimenti di dati personali all’estero (tra cui l’ormai nota Digital Rights Ireland Ltd.) sostengono infatti che il Privacy Shield non offra un adeguato livello di protezione, a differenza di quanto ritenuto dalla Commissione europea che il 12 luglio 2016 ha adottato la decisione di adeguatezza rendendo legittimi i trasferimenti di dati verso gli Stati Uniti e le organizzazioni americane aderenti al nuovo accordo.

In particolare, i ricorrenti sostengono che lo “scudo” UE-USA per la privacy non recepisca integralmente i princìpi e i diritti a tutela della protezione dei dati personali contenuti nella direttiva 95/46/CE (che – si ricorda – sarà abrogata a decorrere dal 2018 ad opera del recente Regolamento UE 679/2016) e, conseguentemente, non assicuri in modo adeguato i diritti dei cittadini europei. Nei ricorsi si contesta altresì che l’accordo non esclude l’accesso indiscriminato alle comunicazioni elettroniche da parte delle autorità straniere così violando il diritto al rispetto alla vita privata, alla protezione dei dati e la libertà di espressione di cui alla Carta dei diritti fondamentali dell’Unione europea.

In ragione di tali motivi i ricorrenti hanno impugnato la decisione di adeguatezza della Commissione ai sensi dell’art. 263 TFUE che prevede la possibilità per i soggetti interessati di impugnare ed ottenere l’annullamento degli atti della Commissione entro due mesi dalla loro entrata in vigore o dalla loro pubblicazione.

Giova ricordare a questo punto che il Gruppo di lavoro Art. 29 aveva già espresso le proprie remore relativamente ad alcuni aspetti dell’accordo che non erano stati modificati nonostante le reiterate richieste di revisione. Nello statement del 26 luglio 2016, immediatamente successivo all’adozione del Privacy Shield, il Gruppo dei Garanti europei rilevava che non fossero state disposte concrete misure di sicurezza per evitare la raccolta generalizzata di dati e che non fosse stata assicurata l’indipendenza di ruolo e di poteri di importanti organismi di ricorso (come l’Ombudsperson).

Pare dunque che il nuovo regime non abbia portato all’instaurazione di un clima di certezza del quadro regolatore dei flussi transfrontalieri di dati verso gli Stati Uniti, Paese che evidentemente non riceve ancora fiducia da parte degli operatori europei. Si attende ora la decisione della Corte di Giustizia che potrebbe ritenere inammissibili i ricorsi per difetto di legittimazione o infondatezza di motivi oppure potrebbe decidere di accogliere l’impugnazione.

L’Article 29 Working Party ha accolto la pubblicazione dei testi giuridici alla base del cosiddetto Privacy Shield, lo scudo UE-USA per la privacy.

I testi, presentati dalla Commissione europea lo scorso 29 febbraio, comprendono i principi che le imprese sono tenute a rispettare, nonché gli impegni scritti del governo degli Stati Uniti (che saranno pubblicati nel U.S. Federal Register) sull’applicazione dell’accordo, comprese assicurazioni sul rispetto delle garanzie e delle limitazioni in materia di accesso ai dati da parte delle autorità pubbliche.

In accordo con l’art. 30(1)(c) della Direttiva 95/46/CE, l’Article 29 Working Party ha annunciato che procederà con un’analisi molto accurata dei testi e della bozza di “adequacy-decision” della Commissione Europea per determinare il livello di protezione garantito dall’accordo USA-UE Privacy Shield. Il parere del Working Party, composto da rappresentanti degli Stati membri e le autorità europee per la protezione dei dati, sarà determinante per procedere con la decisione finale del collegio.

In quest’ottica, i vari gruppi di lavoro del Working Party si mobiliteranno per soppesare i  livelli di garanzie dell’accordo, sia in considerazione degli aspetti commerciali, sia delle limitazioni alla sicurezza nazionale, all’interesse pubblico e dei processi di enforcement.

Il giudizio del Working Party terrà conto, inter alia, della sentenza della corte di giustizia dell’Unione Europea del 6 ottobre 2015 sul caso Schrems, della giurisprudenza europea sul tema dei diritti umani fondamentali, della lettera del 10 aprile 2014 sul Safe harbor inviata dal Working Party alla Commissione Europea e dei documenti del Working Party relativi ai trasferimenti di dati personali verso paesi terzi.

La bozza di parere del Working Party verrà presentata allla prossima assemblea plenaria del 12 e 13 aprile 2016.

La recente decisione “Facebook” della Corte di giustizia europea (Causa C-362-14) si può leggere con due diverse prospettive, che peraltro non si escludono vicendevolmente. La prima lettura è quella tecnico-giuridica. La seconda è quella politica.

Muoviamo dalla prima. I fatti sono noti e così le conclusioni. Gli Stati Uniti non sono considerati un Paese che, ai sensi della dir. 95/46, la direttiva-madre in materia di protezione dei dati personali, garantisce un livello di tutela adeguato.

Il percorso è quello tracciato dall’art. 25 della direttiva che si riporta, per comodità e per chiarezza, per comprendere meglio il passato (la decisione) e il futuro (le strade aperte attualmente).

“Articolo 25

Principi

1. Gli Stati membri dispongono che il trasferimento verso un paese terzo di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento può aver luogo soltanto se il paese terzo di cui trattasi garantisce un livello di protezione adeguato, fatte salve le misure nazionali di attuazione delle altre disposizioni della presente direttiva.

2. L’adeguatezza del livello di protezione garantito da un paese terzo è valutata con riguardo a tutte le circostanze relative ad un trasferimento o ad una categoria di trasferimenti di dati; in particolare sono presi in considerazione la natura dei dati, le finalità del o dei trattamenti previsti, il paese d’origine e il paese di destinazione finale, le norme di diritto, generali o settoriali, vigenti nel paese terzo di cui trattasi, nonché le regole professionali e le misure di sicurezza ivi osservate.

3. Gli Stati membri e la Commissione si comunicano a vicenda i casi in cui, a loro parere, un paese terzo non garantisce un livello di protezione adeguato ai sensi del paragrafo 2.

4. Qualora la Commissione constati, secondo la procedura dell’articolo 31, paragrafo 2, che un paese terzo non garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, gli Stati membri adottano le misure necessarie per impedire ogni trasferimento di dati della stessa natura verso il paese terzo in questione.

5. La Commissione avvia, al momento opportuno, negoziati per porre rimedio alla situazione risultante dalla constatazione di cui al paragrafo 4.

6. La Commissione può constatare, secondo la procedura di cui all’articolo 31, paragrafo 2, che un paese terzo garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, in particolare di quelli assunti in seguito ai negoziati di cui al paragrafo 5, ai fini della tutela della vita privata o delle libertà e dei diritti fondamentali della persona.

Gli Stati membri adottano le misure necessarie per conformarsi alla decisione della Commissione”.

Dunque la Commissione in passato aveva ritenuto adeguato il livello di protezione garantito dal Safe Harbor, ma la Corte, con questa decisione, non concorda e invalida il Safe Harbor.

Ciò non significa affatto che il trasferimento dei dati personali verso gli Stati Uniti non possa più avvenire. Può avvenire sulla base dell’espresso consenso dell’interessato oppure sulla base delle Binding Corporate Rules.

Quindi l’interessato potrà esprimere il consenso sul trasferimento oppure il titolare del trattamento potrà dotarsi di regole di gestione approvate dall’Autorità garante che consentiranno il trasferimento.

Cosa cambia, allora?

Che non si potrà utilizzare lo strumento del Safe Harbor, cioè trasferire i dati verso gli Stati Uniti senza consenso o senza regole preapprovate, ritenendo cioè i dati protetti negli Stati Uniti come in Europa.

Sotto il profilo strettamente giuridico-applicativo, il commento finisce qui. Si configurano indubbiamente maggiori oneri gestionali per chi trasferisce i dati dall’Europa agli Stati Uniti, ma certo non un divieto.

Assai più problematica, invece la lettura politica della decisione che segue a distanza di circa un anno il caso Google Spain.

Gli Stati Uniti, si è affermato prima, non garantiscono per la Corte un livello di protezione dei dati adeguato.

In estrema sintesi la Corte afferma che il livello di protezione dei dati personali è più alto in Europa e che ai dati personali degli europei (si perdoni qui la semplificazione, ovviamente la decisione si riferisce al trasferimento dei dati dall’Europa, a certe condizioni) si applica la legge europea. Affermazioni di segno analogo erano nella decisione Google Spain.

La Corte anticipa il contenuto dell’art. 3 dell’emanando regolamento europeo in materia di protezione dei dati personali con un’altra decisione di carattere (anche) politico. D’altronde, la protezione dei dati personali ha rilievo costituzionale in Europa (art. 8 della Carta dei diritti fondamentali), ma non negli USA. Ciò ovviamente riflette una differente scala di valori in due regioni del mondo seppure molto simili fra loro, se confrontate con la regione asiatica. Ciò ha naturalmente un costo, diversamente sopportabile per i grandi (Google o Facebook) e per i piccoli attori. E evidenzia che politicamente sul punto fra Europa e Stati Uniti non c’è (ancora?) accordo.

Entro fine gennaio 2016 Europa e Stati Uniti dovranno raggiungere una nuova intesa per il trasferimento dei dati personali degli utenti dal vecchio continente alle aziende americane. Se ciò non dovesse avvenire, le authority UE della privacy ricorreranno a sanzioni per tutte le attività che continueranno a svolgersi secondo le regole dell’accordo noto come “Safe Harbor”.

In una nota resa pubblica in questi giorni, le authority europee riunite nell’Article 29 Data Protection Working Party (organo consultivo indipendente istituito in conformità all’articolo 29 della Direttiva 95/46/CE sulla protezione dei dati personali) hanno sottolineato l’urgenza dell’avvio di un negoziato che individui una posizione condivisa dei governi.

Sarà necessario un accordo “che offra garanzie più solide ai soggetti dei dati europei” e agisca in adempienza della recente sentenza della Corte di Giustizia europea. Non sarà considerato accettabile il persistere di condizioni che permettano una sorveglianza massiccia e indiscriminata, e il trasferimento di dati verso Paesi dove le autorità statali gestiscano le informazioni con “strumenti che prevaricano ciò che è lecito in una società democratica”. L’accordo non potrà comprendere soluzioni incompatibili con il quadro legale dell’Unione Europea.

Nel frattempo, in mancanza di un quadro di riferimento aggiornato, le autorità di protezione dei dati indagheranno su particolari casi, sulla base di segnalazioni ed esercitando le funzioni necessarie alla protezione dei diritti degli individui.

Il Working Party conclude la nota auspicando che le aziende siano coscienti dei “rischi che si assumono nel trasferimento dei dati” e che valutino tempestivamente l’adozione di soluzioni legali e tecniche atte a mitigare tali rischi nel rispetto delle norme comunitarie acquisite sulla data protection.

Si dovrà dunque arrivare a una conclusione che soddisfi le autorità europee entro la fine di gennaio 2016: nel caso in cui Europa e Stati Uniti non avranno trovato una soluzione, i garanti europei si impegneranno ad avviare tutti i provvedimenti necessari e appropriati, che prevedono la possibilità di una azione di enforcement coordinata.

La Corte Suprema dell’Irlanda ha rinviato alla Corte di Giustizia Europea il ricorso di un cittadino che si era rivolto al Garante privacy irlandese per ottenere accertamenti sul trattamento dei dati personali che Facebook raccoglie in Europa e invia negli Stati Uniti. La richiesta era stata presentata in seguito alle rivelazioni di Snowden sul programma PRISM del governo degli Stati Uniti.

Nel 2013,  l’Authority irlandese per la protezione dei dati personali aveva rigettato la domanda di un cittadino austriaco di nome Max Schrems, attivista della privacy e fondatore del gruppo Europe Vs. Facebook, che chiedeva di avviare una procedura di verifica sul sospetto trasferimento di dati tra la succursale irlandese di Facebook e la National Security Agency (NSA) americana.

Il rifiuto del Garante privacy di procedere con la verifica si basava sulla constatazione che la controversia, essendo nata in seguito alla “soffiata” di Snowden, era da risolversi ad un livello politico.

Formalmente, la liceità del trattamento che Facebook Irlanda opera sui dati personali dei cittadini dell’Unione Europea è “garantita” dai principi del cosiddetto Safe Harbor, un’autocertificazione che permette alle compagnie americane di risultare conformi ai principi di protezione dei dati personali stabiliti dalla Direttiva 95/46/CE . I principi del Safe Harbor, sono stati definiti allo scopo di evitare perdite di dati ed intrusioni non autorizzate e sono stati stabiliti da un accordo fra il Dipartimento del Commercio Americano e la Commissione Europea che risale al 2000.

Nel ricorso contro la decisione del Garante, Schrems obiettava che non era sua intenzione mettere in discussione la validità dei principi del Safe Harbor quanto l’effettiva operatività di tali principi, dal momento che il trasferimento dei dati personali degli utenti europei di Facebook all’Agenzia per la Sicurezza Nazionale degli Stati Uniti, non è previsto da alcuna eccezione del Safe Harbor Program.

Accogliendo parte del ragionamento presentato da Schrems, il giudice della High Court ha dichiarato che ci sono prove che suggeriscono che i dati personali raccolti da Facebook in Europa vengano periodicamente controllati in massa e su base indistinta dalle autorità americane. Pertanto, dal momento che è necessario Garantire ai cittadini irlandesi il diritto alla privacy, il giudice ha deciso di chiedere il parere della Corte di Giustizia europea.

In particolare, viene richiesto alla Corte di Lussemburgo di esaminare se il Garante Privacy irlandese è vincolato alla procedura del Safe Harbor, che autorizza al trasferimento dei dati sulla base di un’autocertificazione, o se al contrario può investigare oltre ed eventualmente rigettare l’autorizzazione della Commissione Europea revocando di fatto il diritto al trasferimento dei dati.

Il responso della Corte di Giustizia Europea è atteso con grande interesse in tutti gli Stati membri.

posted by admin on giugno 28, 2010

Responsabilità dei provider

1 comment

Immagine 1Si è concluso con una decisione a favore di YouTube il caso legale nel quale il colosso mediatico Viacom aveva chiesto un miliardo di dollari di risarcimento danni alla piattaforma di video, accusata di aver lucrato consapevolmente su decine di migliaia di filmati protetti da diritto d’autore.

Il giudice federale di Manhattan ha avvalorato la teoria della difesa, secondo la quale il Digital Millenium Copyright Act sancisce la non responsabilità di YouTube per il principio del safe harbor: il provider di servizi non è responsabile dei contenuti generati dagli utenti se assicura la rimozione immediata di materiale segnalato come in violazione.

Secondo il giudizio, sebbene genericamente consapevole di ospitare sulla sua piattaforma materiale protetto da copyright, YouTube avrebbe dimostrato la sua buona fede nell’aver sempre prontamente rimosso tutti i video segnalati, come accadde nel 2007 quando 100000 video protetti da diritto d’autore furono rimossi il giorno dopo la segnalazione inviata da Viacom.

La sentenza a favore di YouTube è stata emessa nella formula del summary judegement, un giudizio espresso della Corte senza il parere di una giuria.  La richiesta di utilizzo di questa procedura, che permette di giungere più velocemente ad una  decisione senza il normale processo, era giunta da entrambi gli schieramenti.

L’esito del giudizio è stato accolto con entusiasmo da YouTube: “Questa è una vittoria molto importante non solo per noi, ma anche per i miliardi di persone che in tutto il mondo usano il web per comunicare e condividere esperienze con gli altri”.

Dal canto suo Viacom comunica di confidare in una vittoria in appello: “Questo caso è sempre stato intorno al decidere se il furto intenzionale di opere protette da diritto d’autore fosse permesso dalla legge esistente e noi abbiamo sempre saputo che la questione critica soggiacente avrebbe dovuto essere indirizzata alle corti di grado superiore. La decisione di oggi accelera la nostra opportunità di farlo”.

Alcuni commentatori hanno però osservato che il fatto che nel giudizio di primo grado non si sia arrivati nemmeno al processo costituisce un precdente a favore di YouTube.

Immagine 1Ha ormai l’aspetto di uno scontro epocale il caso sul copyright che negli Stati Uniti vede implicati Google/YouTube e Viacom – il colosso dei media americani che comprende fra gli altri MTV, Paramount Pictures e Dreamworks. Il processo, che dura ormai da tre anni, verte su una richiesta miliardaria di risarcimento danni a carico di YouTube, accusato di avere sfruttato commercialmente migliaia di video prodotti da Viacom e coperti da diritto d’autore.

Non è esagerato affermare che il caso è diventato il processo principale sulla responsabilità del provider negli Stati Uniti. Come se non bastasse la potenza commerciale delle due aziende coinvolte, si sono schierati al fianco delle due parti da un lato i più importanti attori dell’industria cinetelevisiva di Hollywood e dall’altro i colossi di Silicon Valley. È infatti notizia recente la scesa in campo di Yahoo!, Facebook e E-bay in difesa di Google. Le società hanno presentato alla Corte di New York che presiede il caso quello che nel diritto americano si chiama amicus brief o rapporto di amicus curiae, un documento presentato volontariamente da parti esterne ad un processo che serve ad offrire alla Corte un parere rilevante sul dibattimento. L’intervento delle industrie di Silicon Valley segue di poco quello dei colossi di Hollywood: NBC Universal, Warner Bros., Disney e altre hanno presentato il loro brief of amici curiae in supporto di Viacom all’inzio di questo mese.

Gli schieramenti, con relativo esercito di legali e periti, si scontrano in una battaglia che diventa così il simbolo della guerra fra vecchi e nuovi media. A Silicon Valley si sostiene che la dottrina del safe harbor escluda il provider di servizi dalla responsabilità sui contenuti generati dagli utenti se assicura la rimozione immediata di materiale segnalato come in violazione. Lo schieramento di Hollywood invece sostiene che il Digital Millennium Copyright Act sancisca la responsabilità dei siti che incoraggiano la pirateria tra cui rientrerebbe anche youTube, fiorito economicamente grazie alla condivisone consapevole di materiale su cui non deteneva i diritti.

La posta in gioco ha evidentemente una portata economica enorme ma le implicazioni della sentenza vanno ben oltre l’aspetto commerciale. Una decisione in favore di Viacom in un caso legale di questo calibro potrebbe determinare cambiamenti nell’industria mondiale del web 2.0. E su questo aspetto insiste l‘amicus brief dello schieramento di Silicon Valley che afferma che approvare la richiesta di Viacom significherebbe creare incertezza per i service provider riguardo alla loro vulnerabilità legale e inibire la crescita dello sviluppo tecnologico dei modelli che si basano sull’utente, modelli che, giorno dopo giorno, fanno di internet e del mondo un posto più democratico.