Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoCornelio Lupi Modificato 8 anni fa
1
CLOUD COMPUTING E TRASFERIMENTO DI DATI ALL’ESTERO: DISCIPLINA APPLICABILE E ADEMPIMENTI Convegno Optime “Cloud computing: le nuove modalità di gestione dei dati e dei sistemi informativi aziendali” – Milano, 23 Febbraio 2016 Prof. Avv. Alessandro del Ninno adelninno@luiss.it adelninno@tonucci.com www.alessandrodelninno.it
2
IL QUADRO NORMATIVO DI RIFERIMENTO
3
TRASFERIMENTO DEI DATI ALL’ESTERO: IL QUADRO NORMATIVO DI RIFERIMENTO Art. 5. Oggetto ed ambito di applicazione Il Codice della privacy si applica: 1.al trattamento di dati personali, anche detenuti all'estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato; 2.al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all'Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'Unione europea (obbligo di nominare un rappresentante stabilito nel territorio dello Stato da parte del titolare estero).
4
TRASFERIMENTO DEI DATI ALL’ESTERO: IL QUADRO NORMATIVO DI RIFERIMENTO Codice della privacy - Art. 42. Trasferimenti all'interno dell'Unione europea. Le disposizioni del Codice della privacy non possono essere applicate in modo tale da restringere o vietare la libera circolazione dei dati personali fra gli Stati membri dell'Unione europea, fatta salva l'adozione, in conformità allo stesso Codice, di eventuali provvedimenti in caso di trasferimenti di dati effettuati al fine di eludere le medesime disposizioni.
5
TRASFERIMENTO DEI DATI ALL’ESTERO: IL QUADRO NORMATIVO DI RIFERIMENTO Codice della privacy - Art. 43. Trasferimenti consentiti in Paesi terzi. Il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, se diretto verso un Paese non appartenente all'Unione europea (o allo Spazio Economico Europeo: Norvegia, Islanda, Liechtenstein) è consentito quando: a) l'interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta;
6
TRASFERIMENTO DEI DATI ALL’ESTERO: IL QUADRO NORMATIVO DI RIFERIMENTO Codice della privacy - Art. 43. Trasferimenti consentiti in Paesi terzi. b) è necessario per l'esecuzione di obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato, ovvero per la conclusione o per l'esecuzione di un contratto stipulato a favore dell'interessato; c) è necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o con regolamento;
7
TRASFERIMENTO DEI DATI ALL’ESTERO: IL QUADRO NORMATIVO DI RIFERIMENTO Codice della privacy - Art. 43. Trasferimenti consentiti in Paesi terzi. d) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. e) è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trasferiti esclusivamente per tali finalità e per il periodo strettamente necessario, nel rispetto della vigente normativa in materia di segreto aziendale e industriale;
8
TRASFERIMENTO DEI DATI ALL’ESTERO: IL QUADRO NORMATIVO DI RIFERIMENTO Codice della privacy - Art. 43. Trasferimenti consentiti in Paesi terzi. f) è effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi, ovvero di una richiesta di informazioni estraibili da un pubblico registro, elenco, atto o documento conoscibile da chiunque, con l'osservanza delle norme che regolano la materia; g) è necessario, in conformità ai rispettivi codici di deontologia di per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici.
9
TRASFERIMENTO DEI DATI ALL’ESTERO: IL QUADRO NORMATIVO DI RIFERIMENTO Codice della privacy - Art. 44. Altri trasferimenti consentiti. Il trasferimento di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'Unione europea, è altresì consentito nei seguenti casi: 1.Decisioni di adeguatezza 2.Clausole contrattuali standard 3.BCR - Binding Corporate Rules
10
TRASFERIMENTO DEI DATI ALL’ESTERO: IL QUADRO NORMATIVO DI RIFERIMENTO DECISIONI DI ADEGUATEZZA. La Commissione europea può stabilire, sulla base di un procedimento che prevede, fra l'altro, il parere favorevole del Gruppo ex Articolo 29, che il livello di protezione offerto in un determinato Paese è adeguato (articolo 25, comma 6, della DIrettiva 95/46/CE), e che pertanto è possibile trasferirvi dati personali. Di seguito sono riportate le decisioni della Commissione sinora pubblicate in materia di adeguatezza di Paesi terzi.
11
TRASFERIMENTO DEI DATI ALL’ESTERO: IL QUADRO NORMATIVO DI RIFERIMENTO DECISIONI DI ADEGUATEZZA. Andorra - Argentina - Australia – PNR – Canada - Faer Oer Guernsey - Isola di Man – Israele – Jersey - Nuova Zelanda Svizzera – Uruguay - USA – PN
12
TRASFERIMENTO DEI DATI ALL’ESTERO: IL QUADRO NORMATIVO DI RIFERIMENTO CLAUSOLE CONTRATTUALI STANDARD. La Commissione europea, ai sensi dell'articolo 26(4) della Direttiva 95/46/CE, può stabilire che determinati strumenti contrattuali consentono di trasferire dati personali verso Paesi terzi. Si tratta di una delle deroghe (stabilite nel comma 2 dell'articolo 26 della Direttiva 95/46/CE) al divieto di effettuare il trasferimento verso Paesi che non offrono garanzie "adeguate" ai sensi della Direttiva 95/46/CE. In pratica, incorporando il testo delle clausole contrattuali in questione in un contratto utilizzato per il trasferimento, l'esportatore dei dati garantisce che questi ultimi saranno trattati conformemente ai principi stabiliti nella Direttiva anche nel Paese terzo di destinazione. Sinora la Commissione ha adottato quattro decisioni in materia.
13
TRASFERIMENTO DEI DATI ALL’ESTERO: IL QUADRO NORMATIVO DI RIFERIMENTO CLAUSOLE CONTRATTUALI STANDARD. 1.Decisione Commissione 5 febbraio 2010, clausole contrattuali tipo per il trasferimento di dati personali a responsabili del trattamento in paesi terzi, 2.Decisione della Commissione del 27 dicembre 2004 per l'introduzione di un insieme alternativo di clausole contrattuali tipo per il trasferimento di dati personali a paesi terzi 3.Decisione della Commissione 5 giugno 2001, clausole contrattuali tipo per trasferimento dati a carattere personale verso paesi terzi 4.Decisione della Commissione, clausole contrattuali tipo per trasferimento dati personali a responsabili del trattamento residenti in paesi terzi.
14
TRASFERIMENTO DEI DATI ALL’ESTERO: IL QUADRO NORMATIVO DI RIFERIMENTO BINDING CORPORATE RULES. Si tratta di uno strumento volto a consentire il trasferimento di dati personali dal territorio dello Stato verso Paesi terzi (extra-UE) tra società facenti parti dello stesso gruppo d'impresa. Si concretizzano in un documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) al cui rispetto sono tenute tutte le società appartenenti ad uno stesso gruppo (corporate).
15
TRASFERIMENTO DEI DATI ALL’ESTERO: IL QUADRO NORMATIVO DI RIFERIMENTO BINDING CORPORATE RULES. Le Bcr costituiscono un meccanismo in grado di semplificare gli oneri amministrativi a carico delle società di carattere multinazionale con riferimento ai flussi intra-gruppo di dati personali. Il rilascio di un'autorizzazione al trasferimento di dati personali tramite Bcr consente alle filiali della multinazionale che ne abbia fatto richiesta, anche se stabilite in diversi Paesi, di trasferire, all'interno del gruppo d'impresa, i dati personali oggetto delle Bcr, senza ulteriori adempimenti.
16
TRASFERIMENTO DEI DATI ALL’ESTERO: IL QUADRO NORMATIVO DI RIFERIMENTO Codice della privacy - Art. 45. Trasferimenti vietati. Fuori dei casi di cui agli articoli 43 e 44 del Codice della privacy, il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'Unione europea, è vietato quando l'ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato. Sono valutate anche le modalità del trasferimento e dei trattamenti previsti, le relative finalità, la natura dei dati e le misure di sicurezza
17
TRASFERIMENTO DEI DATI ALL’ESTERO: IL QUADRO NORMATIVO DI RIFERIMENTO Codice della privacy - Art. 167 Trattamento illecito di dati personali. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione della norma che vieta il trasferimento dei dati all’estero verso Paesi terzi che non garantiscono un adeguato livello di protezione dei dati personali, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.
18
SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO
19
Le principali criticità Principale criticità che connota i servizi cloud (così come altri fenomeni quali il crowdsourcing e i big data) è il naturale ambito di erogazione degli stessi che – soprattutto nel caso di public cloud - prescinde dal territorio in cui è stabilito il provider per assumere dimensioni globali sia per ragioni tecniche che per ragioni economiche. In questo contesto si palesa come la possibilità di operare in mercati transnazionali richiede la necessaria definizione di regole normative comuni applicabili a tutti gli utenti, non essendo ipotizzabile che i provider sopportino i costi per approntare diversi condizioni a seconda della nazionalità dell’utente e del quadro giuridico locale applicabile.
20
SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO Le principali criticità Il cloud computing si basa per lo più sulla completa mancanza di un’ubicazione stabile dei dati all’interno della rete del fornitore cloud. I dati possono trovarsi in un centro di trattamento alle 2 del pomeriggio e dall’altra parte del mondo alle 4 del pomeriggio. Il cliente cloud quindi è raramente nella posizione di sapere in tempo reale dove si trovano, dove sono archiviati o dove sono trasferiti i dati. In un simile contesto, gli strumenti giuridici tradizionali che fungono da quadro di riferimento per la regolamentazione dei trasferimenti di dati verso paesi terzi extra-UE che non forniscono una tutela adeguata, presentano delle limitazioni (Parere del WP 1° Luglio 2012 n. 5 sul Cloud Computing).
21
SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO Alcune “risposte” normative Risoluzione sul Cloud Computing di Punta del Este – 26 Ottobre 2012. Raccomandazione ai Legislatori internazionali di garantire l’adeguatezza e l’interoperabilità dei quadri normativi di riferimento per facilitare il trasferimento cross-border dei dati a livello internazionale, anche considerando la previsione di norme di salvaguardia ad hoc nell’era del Cloud Computing.
22
SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO Parere del WP 1° Luglio 2012 n. 5 sul Cloud Computing – Paragrafo 3.5 – Trasferimenti internazionali. Gli accertamenti di adeguatezza hanno un ambito di applicazione geografica limitata e quindi non coprono tutti i trasferimenti all’interno del cloud. I trasferimenti verso organizzazioni non-UE che pure aderiscano ai principi UE di protezione della privacy attraverso meccanismi di autocertificazione può non costituire una sufficiente base giuridica in assenza di una solida applicazione dei principi di protezione dei dati nello specifico contesto del sistema cloud.
23
SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO Parere del WP 1° Luglio 2012 n. 5 sul Cloud Computing – Paragrafo 3.5 – Trasferimenti internazionali. Inoltre, l’articolo 17 della direttiva UE prevede che il Titolare del trattamento stipuli un contratto con un Responsabile a fini del trattamento. Il contratto non è soggetto alla preventiva autorizzazione delle autorità europee per la protezione dei dati e specifica il trattamento da effettuare e eventuali misure necessarie per garantire che i dati siano mantenuti in sicurezza. Diverse legislazioni nazionali e DPA possono prevedere requisiti aggiuntivi).
24
SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO Parere del WP 1° Luglio 2012 n. 5 sul Cloud Computing – Paragrafo 3.5 – Trasferimenti internazionali. Il Gruppo di lavoro ritiene che: 1.le società che esportano dati non dovrebbero semplicemente basarsi sulla dichiarazione dell’importatore dei dati in merito ad eventuali certificazioni; 2.dovrebbero ottenere le prove dell’esistenza delle autocertificazioni e richiedere che venga dimostrata l’osservanza dei relativi principi; 3. il cliente cloud deve poter verificare se i contratti tipo offerti dai fornitori cloud siano conformi ai requisiti nazionali concernenti le clausole contrattuali sul trattamento dei dati; i
25
SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO Parere del WP 1° Luglio 2012 n. 5 sul Cloud Computing – Paragrafo 3.5 – Trasferimenti internazionali. 4.contratti dovrebbero prevedere che nel contratto sia definito il sub-trattamento, con la relative ubicazioni e i dati dei sub-responsabili,, nonché la tracciabilità dei dati; 5.gli strumenti da utilizzarsi in aggiunta ai meccanismi di autocertificazione sono le clausole contrattuali tipo o le norme vincolanti d’impresa (BCR), soprattutto per alcuni aspetti del trattamento che non sono coperti dai meccanismi di autocertificazione, che di per se stessi non possano garantire all’esportatore dei dati gli strumenti necessari per assicurare che il fornitore di servizi cloud abbia applicato adeguate misure di sicurezza, come richiesto dalle legislazioni nazionali.
26
SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO Parere del WP 1° Luglio 2012 n. 5 sul Cloud Computing – Paragrafo 3.5 – Trasferimenti internazionali. In termini di sicurezza dei dati, il cloud computing comporta numerosi rischi specifici, quali la perdita di governance, l’insicurezza o incompletezza della cancellazione dei dati, piste di controllo (audit trail) insufficienti o carenze nell’isolamento, che non sono affrontati in misura sufficiente. Occorre quindi prevedere garanzie aggiuntive per la sicurezza dei dati, ad esempio integrando competenze e risorse di terzi che siano in grado di valutare l’adeguatezza dei fornitori cloud con diversi sistemi di controllo, standardizzazione e certificazione.
27
SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO Nuovo Regolamento Generale UE sulla Protezione dei Dati personali. Ambito di applicabilità territoriale. Il Regolamento Generale sulla Protezione dei dati personali si applica: 1.al trattamento di dati personali nel contesto delle attività di uno stabilimento di un Titolare o di un Responsabile nell’Unione, indipendentemente dal fatto che il trattamento abbia luogo o meno nella UE.
28
SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO Nuovo Regolamento Generale UE sulla Protezione dei Dati personali. Ambito di applicabilità territoriale (art. 3). 2.al trattamento di dati personali di persone fisiche presenti nella UE svolto da un Titolare o da un Responsabile anche non stabilito nella UE, ove il trattamento riguardi l’offerta di beni o servizi – indipendentemente dalla previsione o meno di un corrispettivo – nei confronti di soggetti che sono presenti nella UE; 3.al trattamento di dati personali svolto da un Titolare che non ha sede nell’Unione Europea, ma in un luogo ove comunque trovi applicazione la legge nazionale di uno Stato Membro in forza delle norme internazionali di diritto pubblico.
29
SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO Nuovo Regolamento Generale UE sulla Protezione dei Dati personali. Meccanismo One-stop-shop (art. 54 a). Istituzionalizzazione delle BCR (art. 43 R.). Le imprese potranno interagire con una unica Autorità di protezione dei dati europea (leading Authority) quando il trattamento dei dati e le questioni relative sono riferiti a più Stati membri (es: stabilimenti multipli nella UE di un’impresa). L’art. 43 del Regolamento istituzionalizza le BCR come uno dei principali strumenti di garanzia della circolazione cross-border dei dati personali.
30
SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO La sentenza della Corte di Giustizia UE 6.10.2015 di annullamento della Decisione Safe Harbor La Corte di Giustizia UE ha annullato l’Accordo Safe Harbor UE – USA poiché lo “schema di approdo sicuro” è applicabile esclusivamente alle imprese americane che ad esso aderiscono, mentre le stesse autorità pubbliche USA non sono invece soggette a tale schema. Inoltre, esigenze sovrane quali la sicurezza nazionale, il pubblico interesse e le necessità di applicazione di principi normativi dell’ordinamento degli Stati Uniti d’America prevalgono sullo “schema di approdo sicuro”, con la conseguenza che le organizzazioni USA sono addirittura obbligate, senza limitazione alcuna, a disapplicare i principi di tale schema cui pure abbiano aderito se in conflitto con superiori esigenze pubbliche.
31
SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO La sentenza della Corte di Giustizia UE 6.10.2015 di annullamento della Decisione Safe Harbor Lo schema di approdo sicuro come applicato negli USA rende dunque possibile l’interferenza – da parte delle autorità pubbliche americane – con i diritti fondamentali delle persone e la Decisione Safe Harbour della Commissione non solo non fa riferimento alla esistenza negli Stati Uniti d’America di regole che possano limitare tale interferenza, ma neanche alla esistenza di effettive tutele legali che proteggano da una tale interferenza.
32
SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO Nuovo accordo sul flusso di dati transatlantici: UE-USA Privacy Shield Il 2 febbraio 2016 la Commissione europea e gli Stati Uniti hanno raggiunto un accordo per il trasferimento transatlantico dei dati, chiamato “UE-USA Privacy Shield”. L’accordo riflette i requisiti stabiliti dalla Corte di giustizia dell’UE nella sentenza del 6 ottobre 2015 che ha invalidato il precedente accordo di Safe Harbor e sarà oggetto di monitoraggio e adeguamento periodici da parte della Commissione europea e del Dipartimento del Commercio americano. In tale attività di revisione saranno coinvolti esperti di intelligence provenienti dagli Stati Uniti e le Autorità europee per la protezione dei dati personali.
33
SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO Nuovo accordo sul flusso di dati transatlantici: UE-USA Privacy Shield In particolare, il nuovo accordo prevede: obblighi stringenti per le imprese statunitensi che trattano dati personali dei cittadini europei. Il Dipartimento del Commercio statunitense verificherà che le imprese spieghino ai clienti/utenti il loro impegno in questo senso - che dovrà essere reso pubblico - impegno che diventa un obbligo di legge verificabile dalla Federal Trade Commission americana. Inoltre, qualsiasi società che gestisce dati delle risorse umane in Europa dovrà impegnarsi a rispettare le decisioni delle Autorità della privacy europee;
34
SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO Nuovo accordo sul flusso di dati transatlantici: UE-USA Privacy Shield chiari obblighi e tutele di trasparenza in materia di accesso ai dati da parte del Governo americano: per la prima volta, gli Stati Uniti hanno fornito assicurazioni scritte all’UE relativamente all’accesso ai dati da parte delle autorità pubbliche per questioni di sicurezza nazionale. Tale accesso sarà soggetto a chiare limitazioni, garanzie e meccanismi di controllo. Queste eccezioni nell’accesso devono essere utilizzate solo nella misura necessaria e proporzionata. Gli Stati Uniti hanno escluso un’indiscriminata sorveglianza di massa dei dati personali trasferiti negli USA nel quadro del nuovo accordo;
35
SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO Nuovo accordo sul flusso di dati transatlantici: UE-USA Privacy Shield una protezione efficace dei diritti dei cittadini dell’UE con diverse possibilità di ricorso: ogni cittadino che ritiene violata la sua privacy nell’ambito del nuovo accordo avrà diverse possibilità di ricorso. Le imprese americane coinvolte hanno l’obbligo di rispondere alle contestazioni entro limiti di tempo certi. Idealmente i problemi dovrebbero essere risolti a questo livello, ma c’è la possibilità per i cittadini europei di rivolgersi alle Autorità nazionali per la tutela dei dati personali e da queste al Dipartimento del Commercio e alla Federal Trade Commission. Inoltre, sarà gratuita la risoluzione alternativa delle controversie. Se la questione riguarda in qualche modo le autorità di intelligence, a giudicarla sarà un Difensore Civico (ombudsman), una figura terza, indipendente, prevista ad hoc dal Privacy Shield.
36
SERVIZI CLOUD E TRASFERIMENTO DEI DATI ALL’ESTERO Nuovo accordo sul flusso di dati transatlantici: UE-USA Privacy Shield Nelle prossime settimane la Commissione UE predisporrà le misure necessarie per mettere in atto il nuovo accordo, presentando una proposta di “decisione di adeguatezza” che miri a proteggere i diritti fondamentali dei cittadini europei i cui dati vengono trasferiti negli Stati Uniti e a garantire la certezza del diritto per le imprese. Tale decisione dovrà poi essere adottata previo parere del Gruppo ex articolo 29 e previa consultazione di un comitato composto da rappresentanti degli Stati membri. Nel frattempo, gli Stati Uniti dovranno predisporre le nuove misure concordate nell’ambito del nuovo accordo, quali nuovi meccanismi di controllo e un nuovo Difensore Civico. Il nuovo accordo dovrebbe entrare in vigore entro i prossimi 3 mesi.
37
Grazie per l’attenzione! Prof. Avv. Alessandro del Ninno www.alessandrodelninno.it adelninno@luiss.it adelninno@tonucci.com
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.