Cerca
Cerca
+

Il futuro dopo Safe Harbor

  • a
  • a
  • a

(Roma, 19 ottobre) - Desta clamore la decisione dell'annullamento del Safe Harbor: la corte di Giustizia europea ha dichiarato non valida la decisione della Commissione Europea che attesta che gli USA garantiscono un adeguato livello di protezione dei dati personali trasferiti; con il comunicato stampa n.117/15 del 6 ottobre 2015, e la sentenza nella causa C362/14 di fatto ha seppellito la validità dell'accordo "Approdo sicuro" o meglio noto come "SAFE HARBOR". Alle porte del Privacy Day Summit 2015, evento nazionale organizzato da Federprivacy, che si terrà a Roma il 21 ottobre prossimo, uno dei relatori della giornata, Riccardo Giannetti, Presidente di Pharmasoftfea, si è espresso in merito all'affaire a stelle e strisce, ponendo l'accento sulla funzione di autocertificazione su cui era basato l'accordo: "La direttiva 95/46/CE relativa al trattamento dei dati personali, su cui si basano tutte le normative nazionali, richiede che affinché possa avvenire un trasferimento di dati verso un paese "Terzo", il paese terzo deve garantire per questi dati un adeguato livello di protezione. La Commissione dal canto suo può stabilire se e quali paesi terzi, in considerazione della legislazione nazionale e/o dei suoi impegni internazionali, garantiscono un livello di protezione adeguato. Ad oggi le circa 4500 aziende americane sono state soggette ai sette principi previsti dalla Commissione: i soggetti interessati devono essere avvertiti sulla raccolta e l'utilizzo dei propri dati personali; i soggetti interessati devono essere liberi di rifiutare la raccolta dei dati e il loro trasferimento a terzi; i dati possono essere trasferiti solo ad organizzazioni che seguono principi adeguati di protezione dei dati; le aziende devono fornire garanzie contro il rischio che i dati vengano smarriti; devono essere raccolti solo i dati rilevanti ai fini della rilevazione ; gli utenti hanno il diritto di accedere ai dati raccolti ed eventualmente a correggerli o cancellarli se sono inesatti; queste regole devono essere efficacemente attuate." In questo scenario perché la Corte di Giustizia Europea ha annullato l'accordo? Prosegue Giannetti "Perché, sempre secondo la sentenza della Corte, la "Commissione" si è limitata ad esaminare il regime di "Safe Harbor" sulla carta, ma non ha constatato effettivamente se negli USA, in considerazione della legislazione nazionale o dei loro impegni internazionali, che fosse garantito "nella pratica" un livello di protezione dei diritti fondamentali equivalenti a quelli dell'EU. In concreto, non essendo l'accordo vincolante per le autorità pubbliche degli USA, per esigenze di sicurezza nazionale, pubblico interesse, leggi USA, le stesse autorità possono liberamente richiedere i dati alle aziende che devono disapplicare l'accordo, all'insaputa dei soggetti interessati. Il caso,ed in particolare la sua genesi, evidenzia la criticità dei grossi sistemi concentratori di dati, sia grossi Data base e sia Server dove transitano le informazioni. Nell'attività di OdC in tutti questi anni, sia che si tratti di valutazioni dei processi di gestione dei database sia che si tratti di sperimentazioni cliniche, è risultato molto difficile, se non raro, trovare una documentazione correttamente rilasciata al soggetto interessato che lo renda pienamente consapevole; i problemi sono sempre gli stessi: Insufficiente consapevolezza, informative poco chiare e fatte ad uso e consumo aziendale, i consensi sono mal espressi e non sono chiari i rapporti con i fornitori terzi (nomina, mansionari, ecc.). Va anche detto che il nuovo EU Regulation responsabilizzerà maggiormente i Titolari o "Data Controller" attraverso l'istituto della Certificazione approvata la quale potrà essere utilizzata come elemento probatorio a dimostrazione del rispetto degli obblighi previsti. Attualmente il tema del livello di protezione dei dati personali negli USA è un problema aperto e demandato nelle sue valutazioni alle singole autorità Garanti Nazionali."

Dai blog