Il Garante Privacy Italiano ha dichiarato decaduta l'autorizzazione privacy rilasciata con la Deliberazione n. 36 del 10 Ottobre 2001 denominata “Trasferimento dei dati personali all'estero - Autorizzazione al trasferimento verso gli Stati Uniti d'America (Safe Harbour)”, con la quale aveva autorizzato il trasferimento dei dati personali dall'Italia verso gli USA sulla base della Decisione del 26 luglio 2000 n. 2000/520/CE della Commissione Europea, che definiva l’accordo Safe Harbour idoneo a garantire un adeguato livello di protezione dei dati personali dei cittadini europei.
L’art. 25 della Direttiva 95/46/CE, infatti, specifica che i dati personali dei cittadini europei possono essere trasferiti in un paese non appartenente all'Unione Europea solo nel caso in cui la Commissione Europea dichiari che quel paese garantisce un adeguato livello di privacy.
In recepimento della Direttiva 95/46/CE, l’art. 44 del D.lgs. 196/03 stabilisce che il trasferimento di dati personali verso un paese non appartenente all'Unione Europea è consentito solo se il Garante Privacy lo ha specificatamente autorizzato con proprio provvedimento, tenuto conto delle decisioni della Commissione Europa in merito all’adeguatezza del livello di privacy di quel paese.
Considerato, che la Corte di Giustizia dell'Unione Europea, in data 06 ottobre 2015 con sentenza in ordine alla “Causa C-362/14, Maximillian Schrems vs. Data Protection Commissioner”, ha dichiarato invalida la Decisione n. 2000/520/CE della Commissione Europea, il Garante Privacy Italiano con il Provvedimento del 22 ottobre 2015, ha revocato l’autorizzazione precedentemente concessa in materia di Safe Harbour e ha vietato il trasferimento dei dati personali nel territorio degli Stati Uniti d'America sulla base della Deliberazione n. 36/2001.
Pertanto attualmente, i titolari del trattamento italiani, che intendono trasferire o mantenere dati personali su server localizzati sul territorio americano, devono urgentemente regolarizzare la loro posizione ricorrendo agli altri presupposti di liceità individuati dagli articoli art. 43 e 44 del D.lgs. 196/03 quale la raccolta del consenso privacy dell’interessato o le “BCR - Binding Corporate Rules” nel caso di trasferimento dei dati tra società di uno stesso Gruppo.
In alternativa i titolari del trattamento possono avvalersi della Deliberazione n. 35/2001 del Garante Privacy Italiano, che permette il trasferimento dei dati dall'Italia verso Paesi non appartenenti all'Unione Europea che non garantiscono un adeguato livello di protezione, solo nel caso in cui siano state sottoscritte con il fornitore estero specifiche clausole contrattuali privacy, conformi a quelle stabilite con Decisione della Commissione Europea, in grado di fornire sufficienti garanzie del pieno rispetto della normativa europea in materia di protezione di dati personali.
Il Garante Privacy Italiano ha, infine, dichiarato che effettuerà controlli per verificare la liceità e la correttezza del trasferimento dei dati in USA, fintanto che non verrà ripristinato il sistema Safe Harbour.
Pertanto, le aziende italiane, che si avvalgono di fornitori IT americani o che hanno delocalizzato le attività di trattamento in USA, per non incorrere in sanzioni amministrative e penali privacy dovranno:
- definire con il fornitore idonee misure di sicurezza per il rispetto della normativa privacy europea
- nominare i fornitori americani responsabili esterni del trattamento
- revisionare i contratti di fornitura integrandoli con clausole contrattuali privacy standard
- aggiornare le informative privacy
- raccogliere il consenso dell’interessato nei casi in cui non siano applicabili gli altri presupposti di liceità individuati dagli articoli art. 43 e 44 del D.lgs. 196/03.
Dr. Eric Falzone - Law Compliance Advisor - Partner EUCS