CLOUD COMPUTING E TRASFERIMENTO DI DATI ALL’ESTERO: DISCIPLINA APPLICABILE E ADEMPIMENTI Convegno Optime “Cloud computing: le nuove modalità di gestione.

Slides:



Advertisements
Presentazioni simili
Organizzazione pubblica e attività amministrativa del turismo
Advertisements

Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Legge sulla trasparenza degli atti amministrativi
Pagina 1 PRESENTAZIONE DELLA POSIZIONE ESPRESSA DA TIM NELLA CONSULTAZIONE PUBBLICA SU ENUM Napoli, 4 novembre 2003.
LA NORMATIVA DI RIFERIMENTO
PRINCIPI CONSOLIDATI DEL PROCESSO DI VALUTAZOIONE i) Qualità. I progetti selezionati per l'erogazione di un finanziamento devono dimostrarsi di elevato.
La prassi dell autorizzazione preventiva adottata dalla Commissione per le opere pubblicate dai suoi dipendenti costituisce una violazione dell art. 10.
L’iniziativa procedimentale comporta
La tutela dei dati personali
Impresa e Privacy. Il trattamento dei dati deve essere eseguito nel rispetto dei diritti e delle libertà fondamentali, della dignità della persona, con.
Novità in materia di PRIVACY 23 febbraio 2012 Relatore: Gianni Festi.
Corso IVA Università di Pisa Ottobre/Novembre 2011
Gli enti ed uffici del Sistema statistico nazionale uniformano la propria attività ai seguenti principi.
ISTAT DCRS Novità organizzative e legislative per il PSN (Roma, 24 giugno 2009) Maria Rosaria Simeone (Dirigente Servizio DCRS/IST) Impatto della normativa.
Quali sono le questioni principalmente oggetto del contenzioso lavoristico? Sicuramente un peso rilevante può attribuirsi alle controversie relative alla.
Quali sono le questioni principalmente oggetto del contenzioso lavoristico? Sicuramente un peso rilevante può attribuirsi alle controversie relative alla.
Controllo di Gestione negli Enti Pubblici
La prova del contratto di lavoro
Direttiva 2005/36/CE Relativa al riconoscimento delle qualifiche professionali.
Dati delle Pubbliche Amministrazioni e Servizi in Rete Prefettura di Reggio Calabria novembre 2010.
Il nuovo CUDE: un “parto” lungo
Prof.ssa Margherita Ramajoli
D.L.196 del 30 giugno 2003 codice in materia di protezione dei dati personali Scuola elementare statale IV Circolo di Lodi.
PRIVACY: Adempimenti e Opportunità
Mediazione: un caso Legge 69/ Art. 60. (Delega al Governo in materia di mediazione e di conciliazione delle controversie civili e commerciali) 1.
Riforma e Professione  Tavola rotonda  “Società tra Professionisti Le Assicurazioni e la Responsabilità Civile Professionale “  Lunedì 7 aprile 2014.
1 FATTURAZIONE ELETTRONICA “PA” & CONSERVAZIONE DIGITALE A NORMA CONSERVAZIONE DIGITALE SOSTITUTIVA IL RESPONSABILE DELLA CONSERVAZIONE ​​ Definizione.
Azienda Ospedaliera San Giovanni Addolorata: Compiti dei responsabili e referenti privacy Avv. Giovanni Guerra.
Principio di necessità nel trattamento dei dati (art.3 codice privacy)
FUNZIONE DELIBERATIVA DEI SOCI
Trasparenza e Anticorruzione:
1 Fruizione e valorizzazione (Titolo II) Capo I: Fruizione dei beni culturali  Sez. I Principi generali  Sez. II Uso dei beni culturali Capo II:Principi.
L’iniziativa procedimentale comporta l’obbligo di procedere l’obbligo di provvedere: a) obbligo di provvedere con un provvedimento espresso b) obbligo.
Il provvedimento amministrativo è
La conservazione dei documenti informatici delle pubbliche amministrazioni Agenzia per l’Italia Digitale Roma, 27 maggio 2015.
La conservazione dei documenti informatici delle pubbliche amministrazioni Enrica Massella Ducci Teri Roma, 27 maggio 2015.
CRUI 14 e 15 luglio 2014 Elisabetta Di Russo Dipartimento di Medicina Molecolare GLAD – Gruppo di Lavoro Ateneo Drupal Nuove linee guida in materia di.
LA CORTE COSTITUZIONALE
LA VERIFICA DELLA CORRETTA TENUTA DELLA CONTABILITA’
LA MAGISTRATURA.
LA RIFORMA DEL MERCATO DEL LAVORO Camera del Lavoro di Alessandria 1 LA RIFORMA DEL MERCATO DEL LAVORO I CONTROLLI A DISTANZA Ottobre 2015.
Le policy aziendali relative al trattamento di dati sensibili ed informazioni riservate novembre2015.
LA TUTELA DEI DIRITTI NELL’UNIONE EUROPEA LEZIONE 3 – 2 FEBBRAIO 2016 Dott.ssa Nicole Lazzerini Dipartimento di Scienze Giuridiche Università degli Studi.
Università degli Studi di Perugia Modulo n. 1 – LA NUOVA LEGGE SUL PROCEDIMENTO AMMINISTRATIVO STEFANO VILLAMENA Appalti pubblici “Principi” “Procedure”
CORSO DI DIRITTO INTERNAZIONALE PRIVATO E PROCESSUALE a.a L’individuazione della legge applicabile (II)

PPT- Postecert PEC – 05/2009 Postecert Posta Elettronica Certificata.
CORSO DI DIRITTO INTERNAZIONALE PRIVATO E PROCESSUALE a.a (6) La legge applicabile alle obbligazioni contrattuali: il regolamento 593/2008 (Roma.
CORSO DI DIRITTO INTERNAZIONALE PRIVATO E PROCESSUALE a.a (7) La legge applicabile alle obbligazioni contrattuali: il regolamento 593/2008 (Roma.
Asseverazione dei Sistemi di Gestione della Sicurezza.
Riconoscimento di sentenze e provvedimenti stranieri: requisiti,condizioni e problemi per l’ufficiale dello stato civile La regolarità formale delle sentenze.
Ing. Monica Summa Camera di Commercio di Napoli 1 “ La gestione in sicurezza delle attrezzature: aspetti generali ed applicativi ” Sala Consiglio Camera.
Dir.priv. mercato fin. G. LA ROCCA 1 Le domande fondamentali – le premesse di carattere normativo.
IL DIRIGENTE SCOLASTICO In qualità di Titolare del trattamento dei dati personali dell’Istituzione scolastica; Ai sensi degli art. 29 e 30 del Testo Unico.
CORSO DI DIRITTO INTERNAZIONALE PRIVATO E PROCESSUALE a.a (8) La legge applicabile alle obbligazioni extracontrattuali.
Corso di Diritto UE Il diritto dell’Unione e i soggetti degli ordinamenti interni (I)
Corso di Diritto UE L’ordinamento della UE: Il sistema delle fonti (IV)
Rapporti tra il d.lgs. 231/2001 e la normativa in materia di sicurezza sul lavoro Pesaro, 12 maggio 2008 Avv. Daniele Tanoni.
LA RESPONSABILITA’ DEI PRODUTTORI LA GESTIONE DEI RAEE PROFESSIONALI (2)
I SISTEMI DI GARANZIA DEI DIRITTI UMANI NEL DIRITTO INTERNAZIONALE Allo Stato compete la responsabilità primaria di assicurare il rispetto dei diritti.
Seconda Università degli Studi di Napoli Facoltà di Lettere e Filosofia Corso di Diritto Amministrativo dei Beni Culturali AA.AA. 2012/2013 Avv. Prof.
Tutela dei consumatori e Codice del consumo (Decreto legislativo 206/2005)
Corso Diritto UE (6) Le procedure decisionali: La individuazione della corretta base giuridica.
LA TUTELA DEI DIRITTI NELL’UNIONE EUROPEA LEZIONE 6 – 10 FEBBRAIO 2016 Dott.ssa Nicole Lazzerini Dipartimento di Scienze Giuridiche Università degli Studi.
Norme internazionali del lavoro Presentazione Roma 25 giugno 2014 Ufficio Internazionale del Lavoro.
DECRETO RAEE OBBLIGHI E SCADENZE Ing. Riccardo Corridori Servizio Centrale Ambiente ANIE.
RELAZIONE TRA FONTI REGOLATRICI DEL RAPPORTO DI LAVORO Dott.ssa Chiara Fantinato Consulente del Lavoro.
CORSO DI DIRITTO INTERNAZIONALE PRIVATO E PROCESSUALE a.a (9) Competenza giurisdizionale e regolamento Bruxelles I e I bis.
La sicurezza informatica Davide Bacciardi 1B_A.S 2014/2015.
Diritto internazionale e diritto interno
Transcript della presentazione:

CLOUD COMPUTING E TRASFERIMENTO DI DATI ALL’ESTERO: DISCIPLINA APPLICABILE E ADEMPIMENTI Convegno Optime “Cloud computing: le nuove modalità di gestione dei dati e dei sistemi informativi aziendali” – Milano, 23 Febbraio 2016 Prof. Avv. Alessandro del Ninno

IL QUADRO NORMATIVO DI RIFERIMENTO

TRASFERIMENTO DEI DATI ALL’ESTERO: IL QUADRO NORMATIVO DI RIFERIMENTO Art. 5. Oggetto ed ambito di applicazione Il Codice della privacy si applica: 1.al trattamento di dati personali, anche detenuti all'estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato; 2.al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all'Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'Unione europea (obbligo di nominare un rappresentante stabilito nel territorio dello Stato da parte del titolare estero).

TRASFERIMENTO DEI DATI ALL’ESTERO: IL QUADRO NORMATIVO DI RIFERIMENTO Codice della privacy - Art. 42. Trasferimenti all'interno dell'Unione europea. Le disposizioni del Codice della privacy non possono essere applicate in modo tale da restringere o vietare la libera circolazione dei dati personali fra gli Stati membri dell'Unione europea, fatta salva l'adozione, in conformità allo stesso Codice, di eventuali provvedimenti in caso di trasferimenti di dati effettuati al fine di eludere le medesime disposizioni.

TRASFERIMENTO DEI DATI ALL’ESTERO: IL QUADRO NORMATIVO DI RIFERIMENTO Codice della privacy - Art. 43. Trasferimenti consentiti in Paesi terzi. Il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, se diretto verso un Paese non appartenente all'Unione europea (o allo Spazio Economico Europeo: Norvegia, Islanda, Liechtenstein) è consentito quando: a) l'interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta;

TRASFERIMENTO DEI DATI ALL’ESTERO: IL QUADRO NORMATIVO DI RIFERIMENTO Codice della privacy - Art. 43. Trasferimenti consentiti in Paesi terzi. b) è necessario per l'esecuzione di obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato, ovvero per la conclusione o per l'esecuzione di un contratto stipulato a favore dell'interessato; c) è necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o con regolamento;

TRASFERIMENTO DEI DATI ALL’ESTERO: IL QUADRO NORMATIVO DI RIFERIMENTO Codice della privacy - Art. 43. Trasferimenti consentiti in Paesi terzi. d) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. e) è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trasferiti esclusivamente per tali finalità e per il periodo strettamente necessario, nel rispetto della vigente normativa in materia di segreto aziendale e industriale;

TRASFERIMENTO DEI DATI ALL’ESTERO: IL QUADRO NORMATIVO DI RIFERIMENTO Codice della privacy - Art. 43. Trasferimenti consentiti in Paesi terzi. f) è effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi, ovvero di una richiesta di informazioni estraibili da un pubblico registro, elenco, atto o documento conoscibile da chiunque, con l'osservanza delle norme che regolano la materia; g) è necessario, in conformità ai rispettivi codici di deontologia di per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici.

TRASFERIMENTO DEI DATI ALL’ESTERO: IL QUADRO NORMATIVO DI RIFERIMENTO Codice della privacy - Art. 44. Altri trasferimenti consentiti. Il trasferimento di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'Unione europea, è altresì consentito nei seguenti casi: 1.Decisioni di adeguatezza 2.Clausole contrattuali standard 3.BCR - Binding Corporate Rules

TRASFERIMENTO DEI DATI ALL’ESTERO: IL QUADRO NORMATIVO DI RIFERIMENTO DECISIONI DI ADEGUATEZZA. La Commissione europea può stabilire, sulla base di un procedimento che prevede, fra l'altro, il parere favorevole del Gruppo ex Articolo 29, che il livello di protezione offerto in un determinato Paese è adeguato (articolo 25, comma 6, della DIrettiva 95/46/CE), e che pertanto è possibile trasferirvi dati personali. Di seguito sono riportate le decisioni della Commissione sinora pubblicate in materia di adeguatezza di Paesi terzi.

TRASFERIMENTO DEI DATI ALL’ESTERO: IL QUADRO NORMATIVO DI RIFERIMENTO DECISIONI DI ADEGUATEZZA. Andorra - Argentina - Australia – PNR – Canada - Faer Oer Guernsey - Isola di Man – Israele – Jersey - Nuova Zelanda Svizzera – Uruguay - USA – PN

TRASFERIMENTO DEI DATI ALL’ESTERO: IL QUADRO NORMATIVO DI RIFERIMENTO CLAUSOLE CONTRATTUALI STANDARD. La Commissione europea, ai sensi dell'articolo 26(4) della Direttiva 95/46/CE, può stabilire che determinati strumenti contrattuali consentono di trasferire dati personali verso Paesi terzi. Si tratta di una delle deroghe (stabilite nel comma 2 dell'articolo 26 della Direttiva 95/46/CE) al divieto di effettuare il trasferimento verso Paesi che non offrono garanzie "adeguate" ai sensi della Direttiva 95/46/CE. In pratica, incorporando il testo delle clausole contrattuali in questione in un contratto utilizzato per il trasferimento, l'esportatore dei dati garantisce che questi ultimi saranno trattati conformemente ai principi stabiliti nella Direttiva anche nel Paese terzo di destinazione. Sinora la Commissione ha adottato quattro decisioni in materia.

TRASFERIMENTO DEI DATI ALL’ESTERO: IL QUADRO NORMATIVO DI RIFERIMENTO CLAUSOLE CONTRATTUALI STANDARD. 1.Decisione Commissione 5 febbraio 2010, clausole contrattuali tipo per il trasferimento di dati personali a responsabili del trattamento in paesi terzi, 2.Decisione della Commissione del 27 dicembre 2004 per l'introduzione di un insieme alternativo di clausole contrattuali tipo per il trasferimento di dati personali a paesi terzi 3.Decisione della Commissione 5 giugno 2001, clausole contrattuali tipo per trasferimento dati a carattere personale verso paesi terzi 4.Decisione della Commissione, clausole contrattuali tipo per trasferimento dati personali a responsabili del trattamento residenti in paesi terzi.

TRASFERIMENTO DEI DATI ALL’ESTERO: IL QUADRO NORMATIVO DI RIFERIMENTO BINDING CORPORATE RULES. Si tratta di uno strumento volto a consentire il trasferimento di dati personali dal territorio dello Stato verso Paesi terzi (extra-UE) tra società facenti parti dello stesso gruppo d'impresa. Si concretizzano in un documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) al cui rispetto sono tenute tutte le società appartenenti ad uno stesso gruppo (corporate).

TRASFERIMENTO DEI DATI ALL’ESTERO: IL QUADRO NORMATIVO DI RIFERIMENTO BINDING CORPORATE RULES. Le Bcr costituiscono un meccanismo in grado di semplificare gli oneri amministrativi a carico delle società di carattere multinazionale con riferimento ai flussi intra-gruppo di dati personali. Il rilascio di un'autorizzazione al trasferimento di dati personali tramite Bcr consente alle filiali della multinazionale che ne abbia fatto richiesta, anche se stabilite in diversi Paesi, di trasferire, all'interno del gruppo d'impresa, i dati personali oggetto delle Bcr, senza ulteriori adempimenti.

TRASFERIMENTO DEI DATI ALL’ESTERO: IL QUADRO NORMATIVO DI RIFERIMENTO Codice della privacy - Art. 45. Trasferimenti vietati. Fuori dei casi di cui agli articoli 43 e 44 del Codice della privacy, il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'Unione europea, è vietato quando l'ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato. Sono valutate anche le modalità del trasferimento e dei trattamenti previsti, le relative finalità, la natura dei dati e le misure di sicurezza

TRASFERIMENTO DEI DATI ALL’ESTERO: IL QUADRO NORMATIVO DI RIFERIMENTO Codice della privacy - Art. 167 Trattamento illecito di dati personali. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione della norma che vieta il trasferimento dei dati all’estero verso Paesi terzi che non garantiscono un adeguato livello di protezione dei dati personali, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.

SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO

Le principali criticità Principale criticità che connota i servizi cloud (così come altri fenomeni quali il crowdsourcing e i big data) è il naturale ambito di erogazione degli stessi che – soprattutto nel caso di public cloud - prescinde dal territorio in cui è stabilito il provider per assumere dimensioni globali sia per ragioni tecniche che per ragioni economiche. In questo contesto si palesa come la possibilità di operare in mercati transnazionali richiede la necessaria definizione di regole normative comuni applicabili a tutti gli utenti, non essendo ipotizzabile che i provider sopportino i costi per approntare diversi condizioni a seconda della nazionalità dell’utente e del quadro giuridico locale applicabile.

SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO Le principali criticità Il cloud computing si basa per lo più sulla completa mancanza di un’ubicazione stabile dei dati all’interno della rete del fornitore cloud. I dati possono trovarsi in un centro di trattamento alle 2 del pomeriggio e dall’altra parte del mondo alle 4 del pomeriggio. Il cliente cloud quindi è raramente nella posizione di sapere in tempo reale dove si trovano, dove sono archiviati o dove sono trasferiti i dati. In un simile contesto, gli strumenti giuridici tradizionali che fungono da quadro di riferimento per la regolamentazione dei trasferimenti di dati verso paesi terzi extra-UE che non forniscono una tutela adeguata, presentano delle limitazioni (Parere del WP 1° Luglio 2012 n. 5 sul Cloud Computing).

SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO Alcune “risposte” normative Risoluzione sul Cloud Computing di Punta del Este – 26 Ottobre Raccomandazione ai Legislatori internazionali di garantire l’adeguatezza e l’interoperabilità dei quadri normativi di riferimento per facilitare il trasferimento cross-border dei dati a livello internazionale, anche considerando la previsione di norme di salvaguardia ad hoc nell’era del Cloud Computing.

SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO Parere del WP 1° Luglio 2012 n. 5 sul Cloud Computing – Paragrafo 3.5 – Trasferimenti internazionali. Gli accertamenti di adeguatezza hanno un ambito di applicazione geografica limitata e quindi non coprono tutti i trasferimenti all’interno del cloud. I trasferimenti verso organizzazioni non-UE che pure aderiscano ai principi UE di protezione della privacy attraverso meccanismi di autocertificazione può non costituire una sufficiente base giuridica in assenza di una solida applicazione dei principi di protezione dei dati nello specifico contesto del sistema cloud.

SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO Parere del WP 1° Luglio 2012 n. 5 sul Cloud Computing – Paragrafo 3.5 – Trasferimenti internazionali. Inoltre, l’articolo 17 della direttiva UE prevede che il Titolare del trattamento stipuli un contratto con un Responsabile a fini del trattamento. Il contratto non è soggetto alla preventiva autorizzazione delle autorità europee per la protezione dei dati e specifica il trattamento da effettuare e eventuali misure necessarie per garantire che i dati siano mantenuti in sicurezza. Diverse legislazioni nazionali e DPA possono prevedere requisiti aggiuntivi).

SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO Parere del WP 1° Luglio 2012 n. 5 sul Cloud Computing – Paragrafo 3.5 – Trasferimenti internazionali. Il Gruppo di lavoro ritiene che: 1.le società che esportano dati non dovrebbero semplicemente basarsi sulla dichiarazione dell’importatore dei dati in merito ad eventuali certificazioni; 2.dovrebbero ottenere le prove dell’esistenza delle autocertificazioni e richiedere che venga dimostrata l’osservanza dei relativi principi; 3. il cliente cloud deve poter verificare se i contratti tipo offerti dai fornitori cloud siano conformi ai requisiti nazionali concernenti le clausole contrattuali sul trattamento dei dati; i

SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO Parere del WP 1° Luglio 2012 n. 5 sul Cloud Computing – Paragrafo 3.5 – Trasferimenti internazionali. 4.contratti dovrebbero prevedere che nel contratto sia definito il sub-trattamento, con la relative ubicazioni e i dati dei sub-responsabili,, nonché la tracciabilità dei dati; 5.gli strumenti da utilizzarsi in aggiunta ai meccanismi di autocertificazione sono le clausole contrattuali tipo o le norme vincolanti d’impresa (BCR), soprattutto per alcuni aspetti del trattamento che non sono coperti dai meccanismi di autocertificazione, che di per se stessi non possano garantire all’esportatore dei dati gli strumenti necessari per assicurare che il fornitore di servizi cloud abbia applicato adeguate misure di sicurezza, come richiesto dalle legislazioni nazionali.

SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO Parere del WP 1° Luglio 2012 n. 5 sul Cloud Computing – Paragrafo 3.5 – Trasferimenti internazionali. In termini di sicurezza dei dati, il cloud computing comporta numerosi rischi specifici, quali la perdita di governance, l’insicurezza o incompletezza della cancellazione dei dati, piste di controllo (audit trail) insufficienti o carenze nell’isolamento, che non sono affrontati in misura sufficiente. Occorre quindi prevedere garanzie aggiuntive per la sicurezza dei dati, ad esempio integrando competenze e risorse di terzi che siano in grado di valutare l’adeguatezza dei fornitori cloud con diversi sistemi di controllo, standardizzazione e certificazione.

SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO Nuovo Regolamento Generale UE sulla Protezione dei Dati personali. Ambito di applicabilità territoriale. Il Regolamento Generale sulla Protezione dei dati personali si applica: 1.al trattamento di dati personali nel contesto delle attività di uno stabilimento di un Titolare o di un Responsabile nell’Unione, indipendentemente dal fatto che il trattamento abbia luogo o meno nella UE.

SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO Nuovo Regolamento Generale UE sulla Protezione dei Dati personali. Ambito di applicabilità territoriale (art. 3). 2.al trattamento di dati personali di persone fisiche presenti nella UE svolto da un Titolare o da un Responsabile anche non stabilito nella UE, ove il trattamento riguardi l’offerta di beni o servizi – indipendentemente dalla previsione o meno di un corrispettivo – nei confronti di soggetti che sono presenti nella UE; 3.al trattamento di dati personali svolto da un Titolare che non ha sede nell’Unione Europea, ma in un luogo ove comunque trovi applicazione la legge nazionale di uno Stato Membro in forza delle norme internazionali di diritto pubblico.

SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO Nuovo Regolamento Generale UE sulla Protezione dei Dati personali. Meccanismo One-stop-shop (art. 54 a). Istituzionalizzazione delle BCR (art. 43 R.). Le imprese potranno interagire con una unica Autorità di protezione dei dati europea (leading Authority) quando il trattamento dei dati e le questioni relative sono riferiti a più Stati membri (es: stabilimenti multipli nella UE di un’impresa). L’art. 43 del Regolamento istituzionalizza le BCR come uno dei principali strumenti di garanzia della circolazione cross-border dei dati personali.

SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO La sentenza della Corte di Giustizia UE di annullamento della Decisione Safe Harbor La Corte di Giustizia UE ha annullato l’Accordo Safe Harbor UE – USA poiché lo “schema di approdo sicuro” è applicabile esclusivamente alle imprese americane che ad esso aderiscono, mentre le stesse autorità pubbliche USA non sono invece soggette a tale schema. Inoltre, esigenze sovrane quali la sicurezza nazionale, il pubblico interesse e le necessità di applicazione di principi normativi dell’ordinamento degli Stati Uniti d’America prevalgono sullo “schema di approdo sicuro”, con la conseguenza che le organizzazioni USA sono addirittura obbligate, senza limitazione alcuna, a disapplicare i principi di tale schema cui pure abbiano aderito se in conflitto con superiori esigenze pubbliche.

SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO La sentenza della Corte di Giustizia UE di annullamento della Decisione Safe Harbor Lo schema di approdo sicuro come applicato negli USA rende dunque possibile l’interferenza – da parte delle autorità pubbliche americane – con i diritti fondamentali delle persone e la Decisione Safe Harbour della Commissione non solo non fa riferimento alla esistenza negli Stati Uniti d’America di regole che possano limitare tale interferenza, ma neanche alla esistenza di effettive tutele legali che proteggano da una tale interferenza.

SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO Nuovo accordo sul flusso di dati transatlantici: UE-USA Privacy Shield Il 2 febbraio 2016 la Commissione europea e gli Stati Uniti hanno raggiunto un accordo per il trasferimento transatlantico dei dati, chiamato “UE-USA Privacy Shield”. L’accordo riflette i requisiti stabiliti dalla Corte di giustizia dell’UE nella sentenza del 6 ottobre 2015 che ha invalidato il precedente accordo di Safe Harbor e sarà oggetto di monitoraggio e adeguamento periodici da parte della Commissione europea e del Dipartimento del Commercio americano. In tale attività di revisione saranno coinvolti esperti di intelligence provenienti dagli Stati Uniti e le Autorità europee per la protezione dei dati personali.

SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO Nuovo accordo sul flusso di dati transatlantici: UE-USA Privacy Shield In particolare, il nuovo accordo prevede: obblighi stringenti per le imprese statunitensi che trattano dati personali dei cittadini europei. Il Dipartimento del Commercio statunitense verificherà che le imprese spieghino ai clienti/utenti il loro impegno in questo senso - che dovrà essere reso pubblico - impegno che diventa un obbligo di legge verificabile dalla Federal Trade Commission americana. Inoltre, qualsiasi società che gestisce dati delle risorse umane in Europa dovrà impegnarsi a rispettare le decisioni delle Autorità della privacy europee;

SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO Nuovo accordo sul flusso di dati transatlantici: UE-USA Privacy Shield chiari obblighi e tutele di trasparenza in materia di accesso ai dati da parte del Governo americano: per la prima volta, gli Stati Uniti hanno fornito assicurazioni scritte all’UE relativamente all’accesso ai dati da parte delle autorità pubbliche per questioni di sicurezza nazionale. Tale accesso sarà soggetto a chiare limitazioni, garanzie e meccanismi di controllo. Queste eccezioni nell’accesso devono essere utilizzate solo nella misura necessaria e proporzionata. Gli Stati Uniti hanno escluso un’indiscriminata sorveglianza di massa dei dati personali trasferiti negli USA nel quadro del nuovo accordo;

SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO Nuovo accordo sul flusso di dati transatlantici: UE-USA Privacy Shield una protezione efficace dei diritti dei cittadini dell’UE con diverse possibilità di ricorso: ogni cittadino che ritiene violata la sua privacy nell’ambito del nuovo accordo avrà diverse possibilità di ricorso. Le imprese americane coinvolte hanno l’obbligo di rispondere alle contestazioni entro limiti di tempo certi. Idealmente i problemi dovrebbero essere risolti a questo livello, ma c’è la possibilità per i cittadini europei di rivolgersi alle Autorità nazionali per la tutela dei dati personali e da queste al Dipartimento del Commercio e alla Federal Trade Commission. Inoltre, sarà gratuita la risoluzione alternativa delle controversie. Se la questione riguarda in qualche modo le autorità di intelligence, a giudicarla sarà un Difensore Civico (ombudsman), una figura terza, indipendente, prevista ad hoc dal Privacy Shield.

SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO Nuovo accordo sul flusso di dati transatlantici: UE-USA Privacy Shield Nelle prossime settimane la Commissione UE predisporrà le misure necessarie per mettere in atto il nuovo accordo, presentando una proposta di “decisione di adeguatezza” che miri a proteggere i diritti fondamentali dei cittadini europei i cui dati vengono trasferiti negli Stati Uniti e a garantire la certezza del diritto per le imprese. Tale decisione dovrà poi essere adottata previo parere del Gruppo ex articolo 29 e previa consultazione di un comitato composto da rappresentanti degli Stati membri. Nel frattempo, gli Stati Uniti dovranno predisporre le nuove misure concordate nell’ambito del nuovo accordo, quali nuovi meccanismi di controllo e un nuovo Difensore Civico. Il nuovo accordo dovrebbe entrare in vigore entro i prossimi 3 mesi.

Grazie per l’attenzione! Prof. Avv. Alessandro del Ninno

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.