Il Safe Harbor, il Privacy Shield e l'invio dei dati dalla UE agli USA. HubSpot compreso

Se sei un cittadino italiano, e quindi dell’Unione Europea (UE) e delle Spazio Economico Europeo (SEE) , probabilmente hai sento parlare  del “Safe Harbor” un quadro normativo stabilito per aiutare le aziende e le organizzazioni ad essere conformi ai requisiti di privacy sul trattamento dei dati per l’invio dei dati dalla UE agli Stati Uniti.

Vediamo di dare una breve panoramica di quello che HubSpot sta facendo per garantire ai suoi clienti in Italia - e nell’Unione Europea - a continuare ad utilizzare la piattaforma HubSpot nel pieno rispetto delle normative sulla privacy dei dati vigenti.

Che cosa è successo nell’ottobre del 2015?

La Corte di Giustizia Europa ha emanato una sentenza il 6 ottobre 2015 dichiarando che il “US-UE Safe Harbor Framework” (il quadro normativo del Safe Harbor per l’invio dei dati tra UE e USA) non era più valido perché non garantiva adeguatamente la protezione dei dati durante il trasferimento delle informazioni personali dei cittadini europei verso gli Stati Uniti.

Con questo impedimento, cioè con il quadro normativo del Safe Harbor fuori dai giochi, le aziende italiane  - ed Europee - che inviano dati tra Unione Europea e Stati Uniti, sono state costrette a cercare altre opzioni tecnologiche, con clausole standard, ovvero clausole tipo o “norme vincolanti d’azienda” (“Binding Corporate Rules”).

Perché la Corte di Giustizia Europea ha preso in considerazione e si è espressa sulla validità del Safe Harbor?

Maximilian Schrems uno studente di diritto austriaco, ha presentato una denuncia contro Facebook e l’Autorità Irlandese per la Protezione dei Dati (Maximilian Schrems v. Data Protection Commissioner, Case C-362/14).

Ha sostenuto che, alla luce delle rivelazioni di Edward Snowden sulla NSA, il Safe Harbor non garantiva una protezione sufficiente contro la sorveglianza. Il caso è andato avanti fino alla Corte di Giustizia, che ha dichiarato che, per come il Safe Harbor era strutturato, non permetteva di soddisfare i requisiti di protezione adeguata per inviare i dati dalla UE agli Stati Uniti.

Tutto ciò suona inquietante… che cosa significa per i clienti di HubSpot?

In HubSpot si fa il punto per seguire gli sviluppi delle leggi europee sulla protezione dei dati, come si è sempre fatto lavorando duro anche prima che la Corte Europea pubblicasse la sua decisione su Schrems.

Per aiutare i clienti ad essere conformi con l’articolo 16(2) e per assicurarli che i loro dati siano adeguatamente protetti, HubSpot ha il Data Processing Annex (DPA) per i termini di servizio dei clienti, a disposizione per tutti i paesi della Unione Europe e dello Spazio Economico Europeo.

Il DPA di HubSpot copre tutti i trasferimenti dei dati dalla UE e dalla SEE tramite la filiale irlandese e incorpora le clausole tipo per coprire i trasferimenti di dati al di fuori della UE e SEE fino alle postazioni statunitensi. Per le informazioni complete si può far riferimento ai termini di servizio di HubSpot: In particolare il punto 13.c:

“Manterremmo adeguate garanzie amministrative, fisica e tecniche per proteggere i Dati dei Clienti. L’utente acconsente al trattamento dei dati dei clienti negli Stati Unici. HubSpot inc. rispetterà la Safe Harbor Framework tra Stati Uniti e Unione Europea e il Safe Harbor Framework tra Stati uniti e Svizzera come stabilito dal dipartimento del Commercio degli Stati Uniti per quanto riguarda la raccolta, l’utilizzo e la conservazione delle informazioni personali da parte di paesi membri dell’Unione Europea.

Inoltre ai fini dell’articolo 26(2) della direttiva 95/46/EC, i clienti con sede nell’Unione Europea e nello Spazio Economico Europeo stipulano un accordo per il trattamento dei dati che include le clausole contrattuali standard adottate dalla Commissione Europea per fornire ulteriori garanzie sufficienti per quanto riguarda i dati elaborati nell’ambito del presente accordo”.

Quindi, ecco com'è oggi la situazione per HubSpot:

Che succede ora con tutte le news che arrivano dalla UE dopo la decisione della Corte di Giustizia?

Non ci saranno ora grandi sorprese, dato il diffuso interesse per il Safe Harbor, ma dal momento della decisione della Corte di Giustizia sul caso Schrems, ci sono stati comunicati stampa, dichiarazioni e opinioni a destra e a sinistra.

I regolatori di UE e Usa hanno concordato una linea di principio per una “SAfe Harbor 2.0”, una soluzione potenziale per offrire un’ampia copertura simile al quadro originale del Safe Harbor.

A complicare un po' le cose, uno stato tedesco, se n’è uscito anche con una dichiarazione sulla validità delle clausole standard.

Nonostante tutti questi punti di vista differenti, in ultima analisi, la Corte di Giustizia Europea è l’unico organo con il potere di ribaltare una chiara sentenza (Come le Clausole Standard).

Il Gruppo di lavoro sull'articolo 29

Il Gruppo di lavoro dell’articolo 29 (The article 29 Working Party - WP29), composto dai rappresentanti delle autorità di protezione dei dati degli stati membri, ha annunciato che per Gennaio 2016 avrebbe valutato le clausole tipo e altri approcci (come le norme vincolanti d’impresa, le Binding Corporate Rules), dando indicazioni su come procedere per superare quello che risulta un quadro normativo oramai obsoleto.

La prospettiva di un futuro “Privacy Shields” del 3 febbraio 2016

Il 2/3 febbraio 2016 il WP29 si è riunito per discute le conseguenze del caso Schrems per i trasferimenti internazionali.

Il WP29 accoglie con favore la conclusione dei negoziati tra la UE e gli Stati Uniti per l’introduzione di un “Privacy Shield” e attende di ricevere documenti pertinenti per rispondere alle preoccupazioni più ampie sollevate dal giudizio Schrems.

Praticamente  una nuova proposta per le norme che ruotano attorno alla sicurezza dei dati personali ed informazioni dei cittadini europei. Questa comporta restrizione serrate su come le organizzazioni statunitensi gestiscono i dati e la condivisione degli stessi.

Il WP29 ha condotto una valutazione alla luce della giurisprudenza europea in materia di diritti fondamentali che fissa 4 garanzie essenziali per le attività di intelligence :

1. La lavorazione dei dati dovrebbe essere basata su regole chiare, precise ed accessibili: questo significa che chiunque sia ragionevolmente informato dovrebbe essere in grado di prevedere ciò che potrebbe accadere con i suoi dati e dove vengono trasferiti;
2. deve essere trovato un equilibrio tra l’obiettivo per il quale i dati vengono raccolti, dove si accede e come vengono garantiti i diritti della persona;
3. dovrebbe esistere un meccanismo di controllo indipendente, efficace ed imparziale, con sufficiente capacità di portare avanti i controlli necessari;
4. c’è bisogno di rimedi efficaci per proteggere gli individui.
   
   

Ed arriviamo alla bozza del Privacy Shields (29 febbraio 2016).

Una bozza di 130 pagine al vaglio della Commissione Europea per realizzare un nuovo quadro di riferimento, costruito sul quadro dei principi del Safe Harbor ma sostanzialmente con consistenti restrizioni, che propone nuovi meccanismi e regola l’accesso delle autorità ai dati personali.

I punti fondamentali dello Privacy Shield

1. Severi obblighi per le imprese
   Obblighi di comunicazione dettagliati, diritti di accesso prescrittivi, regime di responsabilità, principi di limitazione e rafforzamento dei requisiti di sicurezza. LE aziende che non rispetteranno questi obblighi si troveranno ad affrontare sanzioni o perderanno l’idoneità ad utilizzare la Privacy Shields.
   
   
2. Meccanismi di ricorso semplificati
   Sotto la Privacy Shield gli individui potranno chiedere risarcimenti o reclamare direttamente per segnalare abusi o violazioni. Gli individui potranno anche avere un meccanismo di soluzione alternativo alle controversie, selezionato dalle singole società. Preoccupato che diventi troppo difficile fare ricorso il WP29 ritiene che ci dovrebbe concentrare sul ruolo di intermediario dei Dipartimenti di Affari Politici dei singoli stati.
   
   
3. Limitare l’accesso in massa ai dati da parte del Governo Statunitense
   Il Privacy Shields continue rassicurazioni da parte del governo degli USA che l’accesso ai dati da parte delle autorità è soggetto a limitazioni, garanzie e meccanismi di controllo. Prevede inoltre la creazione di un difensore civico all’interno del Dipartimento di Stato degli Usa per gestire i reclami da parte delle singole autorità d’intelligence.
   
   
4. Clausole di revisione
   La Privacy Shiedl è stata redatta all’interno del quadro di riferimento della direttiva sulla protezione dei dati 94/46/CE. Tuttavia, quando questa sarà sostituita dal General Data Protection Regulation (GDRP), che dovrebbe entrare in vigore nella primavera del 2018, potrebbe essere necessario rivedere alcuni punti del Privacy Shield, al fine di armonizzarlo all nuova normativa, una volta entrata in vigore.

Il nuovo Privacy Shield

In data 12 luglio 2016, la Comssione Europea ha ritenuto il nuovo Privacy Shield Framework, redatto dal Dipartimento per il commercio Americano, idoneo a garantire adeguata protezione al trasferimento dei dati secondo la legge Europea . Le aziende con sede negli Stati Uniti devono aderire al Privay Shield Framework per beneficiare dell'accertamento di adeguatezza.

Con HubSpot i clienti italiani ed europei possono dormire sonni tranquilli.

HubSpot ha adottato il nuovo Privacy Shield Framework e garantisce la protezione del trasferimento dei dati dei suoi clienti dall'Unione Europea agli Stati Uniti.

Fonti e riferimenti

Il post è stato aggiornato per completezza di informazioni.