privacy dei dati tra Europa e Stati Uniti

Privacy dei dati: lo scudo Eu-USA è invalidato, perché interessa le TMC?

La privacy dei dati tra Europa e Stati Uniti torna in aula. Con una decisione storica, la Corte di giustizia europea (Cgue) annulla la decisione 2016/1250 sull’adeguatezza della tutela fornita dallo scudo di protezione dei dati UE-Usa, il cosiddetto “Privacy Shield”. L’accordo sul trasferimento transatlantico dei dati «non è in linea con il Gdpr e non protegge dall’invasività programmi americani», spiega la Cgue. E’ noto, ad esempio, che le leggi statunitensi consentono la sorveglianza delle informazioni di massa da parte delle autorità.

Perché deve interessare il business travel?

Lo mette in evidenza Vdr, associazione tedesca della filiera dei viaggi d’affari.

Spiega: «Il problema è urgente perché il settore è dominato da società con sede negli Stati Uniti». Ecco che Vdr invita i travel manager europei ad interessarsi al caso, dopo che la Corte europea ha invalidato i processi di trasferimento dei dati personali negli Stati Uniti.

Spiega Hans-Ingo Biehl, direttore esecutivo di Vdr: «I responsabili dei viaggi aziendali dovrebbero constatare che i dati di prenotazione dei passeggeri finiranno negli Stati Uniti in maniera sicura».

La sentenza (leggila qui) è stata emessa il 16 luglio e chiarisce che non sussistono periodi di tolleranza per la cessazione del Privacy Shield.

Scrive Vdr ai suoi membri: «Il trasferimento dei dati deve essere immediatamente interrotto. Devono essere esaminate le alternative su come la loro gestione può essere modificata».

Privacy dei dati tra Europa e Stati Uniti, i contratti con le TMC

La stessa decisione della Corte impone, inoltre, ai responsabili del trattamento dei dati, quindi anche ai travel manager in azienda, di rivedere le clausole contrattuali standard. Esse rappresentano la soluzione più comune utilizzata nel business travel per proteggere le esportazioni di dati al di fuori dell’UE.

Da Vdr viene la raccomandazione: «Se non sei certo che i dati siano sicuri utilizzando gli Scc, non trasferirli più», afferma Biehl. E ha invitato i travel manager a tenere consultazioni urgenti con le loro Tmc e i fornitori di strumenti di prenotazione online.

Le Scc (standard contractual clauses), in italiano “clausole contrattuali tipo”, vengono inserite nei contratti per garantire legalmente che i fornitori di servizi tratteranno i dati in modo conforme.

Tuttavia, è bene precisare che la sentenza del 16 luglio approva il meccanismo delle Scc nel trasferimento delle informazioni verso responsabili del trattamento stabiliti in Paesi terzi.

Riportiamo fedelmente: «Si ritiene valida la decisione 2010/87 della Commissione relativa alle clausole contrattuali standard per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi». Purché garantiscano un adeguato livello di protezione.

Clausole contrattuali standard

Osserva Samantha Simms, specialista in protezione dei dati di viaggio aziendale, principale consulente e fondatore di Information Collective: «Ciò che la decisione della Corte di giustizia europea ci ha detto è che tutti noi dobbiamo essere responsabili dei dati che generiamo. Se la Tmc ha chiesto di accettare determinati Scc, dovreste chiedere loro fino a che punto stanno conducendo le valutazioni di impatto e come gestiranno l’hosting degli Stati Uniti d’ora in poi».

Più nel dettaglio, i travel manager dovrebbero rivolgersi ai viaggiatori e ottenere il consenso da parte loro sul fatto che siano d’accordo con il trasferimento.

Un’altra potenziale soluzione sarebbe che le aziende di viaggi conservassero i loro dati in Europa. Gli esperti osservano che qui i dati sono più costosi rispetto ad altre regioni e ciò impatterebbe sui costi dei viaggi.

Il Privacy Shield cos’è

Il Privacy Shield è stato introdotto nel 2016.

Lo scudo per la privacy dei dati è un quadro giuridico che consente alle società commerciali statunitensi di trasferire e conservare i dati personali dall’UE negli Stati Uniti, nel rispetto delle norme più rigorose dell’Europa.

Il caso Schrems e Facebook

Quanto accade oggi trae origine da una delle più appassionanti cause legali sulla privacy dei dati. L’ha cominciata il cittadino austriaco Maximillian Schrems, che ha sfidato “la moralità” dei big del web.

Utente di Facebook dal 2008 e residente in Austria, nel 2011 Schrems presenta un reclamo all’autorità di controllo irlandese sui trasferimenti dei suoi dati da Facebook Irlanda a Facebook Usa. L’authority gli diede torto, successivamente la Corte di giustizia europea conferma la giustezza della sua interpretazione.

Infatti, come nel caso di altri utenti residenti nell’Unione europea, alcuni o tutti i dati personali di Mr Schrems vengono trasferiti da Facebook Irlanda a server appartenenti a Facebook Inc. che si trovano negli Stati Uniti. Qui vengono sottoposti “a trattamento”.

Cosa lamentò Mr Schrems (allora 28enne), che è anche un avvocato attivista che si batte per la privacy dei dati?

Ha affermato che la legge e le prassi negli Stati Uniti non offrono una protezione sufficiente contro l’accesso delle autorità pubbliche ai dati trasferiti in quel Paese.

Il caso è ri-aperto.

Approfondisci sulla biometria in aeroporto e il rispetto della privacy.

Lascia un commento

*