Bah... Qui il commento di Schrems medesimo http://www.europe-v-facebook.org/CJEU_IR.pdf 2015-10-06 10:09 GMT+01:00 J.C. DE MARTIN <demartin@polito.it>:

E ora si balla...

jc

On 06/10/15 10:45, Antonio Casilli wrote:

...

http://mobile.nytimes.com/2015/10/07/technology/european-union-us-data-colle...

_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa

-- *Guido* Dr. Guido Noto La Diega <http://www.law.qmul.ac.uk/staff/notoladiega.html>, Postdoctoral Research Assistant in Cloud Computing Law <http://www.cloudlegal.ccls.qmul.ac.uk/project/researchers/index.html> - Queen Mary University of London <http://www.mccrc.eu/Pages/Research-Team.aspx> President of Ital-IoT <http://italiot.altervista.org/about-us/> - Centre of Multidisciplinary Research on the Internet of Things Avvocato <http://www.studioperrino.it/intro/index.asp> (Commercial and IP/IT Lawyer) Cultore della materia in Civil Law and Intellectual Property <http://www.unipa.it/persone/docenti/n/guido.notoladiega> - University of Palermo 67-69 Lincoln's Inn Fields London WC2A 3JB g.notoladiega@qmul.ac.uk +44(0)2078823386 @gui_notoladiega https://it.linkedin.com/pub/guido-noto-la-diega-ph-d/6/614/669 This e-mail and any attachment hereto are strictly confidential and are exclusively intended for the person above identified. Without intended recipient’s entitlement, use, copy and dissemination of this e-mail is prohibited. If you have received it in error, please advice us immediately by telephone and return the documents received to the above address, deleting the files. Thank you. Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte Informationen. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestaettet. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Danke. Il presente messaggio di posta elettronica ed ogni eventuale allegato contengono informazioni strettamente riservate e sono indirizzati esclusivamente al soggetto sopra indicato. In mancanza di autorizzazione del destinatario, ne sono vietati l’uso, la riproduzione e la divulgazione. Se avete ricevuto questo messaggio per errore, siete pregati di avvisarci immediatamente per telefono e di restituirci i documenti ricevuti all’indirizzo sopra indicato, distruggendo i file. Grazie. *BE ECO-FRIENDLY: Unless necessary, please do not print this e-mail *

[image: Inline image 1] On Tue, Oct 6, 2015 at 3:05 AM, Alessandro Mantelero < alessandro.mantelero@polito.it> wrote:

ed era ora....

On Tue, 6 Oct 2015 11:09:18 +0200 "J.C. DE MARTIN" <demartin@polito.it> wrote:

...

E ora si balla...

jc

On 06/10/15 10:45, Antonio Casilli wrote:

...

http://mobile.nytimes.com/2015/10/07/technology/european-union-us-data-colle...

_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa

-- Prof. Avv. Alessandro Mantelero Politecnico di Torino

Nexa Center for Internet and Society | Director of Privacy Politecnico di Torino–Tongji University| Coordinator, Double Degree program in Management and IP Law Nanjing University of Information Science and Technology | Part-time Expert, School of Public Administration

http://staff.polito.it/alessandro.mantelero @mantelero

EMAIL POLICY: twice a day (Mon-Fri)

_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa

Nell'immediato? Nazionalizzazione di Facebook e creazione di Data Soviets. Almeno così mi si dice da Menlo Park #trollolo ----- Mail d'origine ----- De: fabio chiusi <fabiochiusi@yahoo.it> À: 'nexa' <nexa@server-nexa.polito.it> Envoyé: Tue, 06 Oct 2015 11:32:46 +0200 (CEST) Objet: Re: [nexa] Decisione Corte di giustizia europea invalida Safe Harbor Ma ora che succede? Non ho ben capito le conseguenze (immediate e non) di questa decisione...f. Il Martedì 6 Ottobre 2015 10:45, Antonio Casilli <antonio.casilli@telecom-paristech.fr> ha scritto: http://mobile.nytimes.com/2015/10/07/technology/european-union-us-data-colle... -- Antonio A. Casilli Associate Professor, Telecom ParisTech Research Fellow Edgar-Morin Center (EHESS) _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa -- Antonio A. Casilli Associate Professor, Telecom ParisTech Research Fellow Edgar-Morin Center (EHESS)

Tecnicamente di tutto, o più probabilmente nulla. Vincolati come siamo ad una normativa nata 20anni fa (Zuckerberg aveva 11anni) si aprono scenari surreali, non tanto per i grandi titolari di trattamento stranieri basati in EU, quanto per le imprese UE cui teoricamente potrebbe esser inibito l’utilizzo di qualsivoglia servizio che comporti un trasferimento dei dati trattati verso US. E basta GMail o un qualsiasi servizio cloud (magari fornito da sp europeo, che utilizzi ridondanze extraUE tipo amazon ecc.ecc.) Se debbo dire, sono molto incerto nella valutazione della sentenza: afferma principi importanti su di un punto cruciale, ovvero l’ingerenza dello Stato per ragioni di sicurezza nazionale e law enforcement, che è però materia del tutto estranea alla Direttiva del 95 che regolava unicamente il mercato (primo pilastro) e non giustizia e sicurezza. E questo è da sempre un vulnus anche per noi europei. E dunque non so dire se: i) sia la forzatura di una Corte che si rende conto di esser l’ultimo baluardo per reagire ad una situazione inaccettabile nella compressione dei diritti fondamentali sul web da parte degli Stati (Governi UE inclusi: la condanna pare esplicita, non per Facebook ,ma alla sorveglianza da parte degli Stati, così che si parla a suocera perché moglie intenda); ii) se sia la scelta politica e miope di sferrare l’ennesimo attacco all’egemonia economica USA, dove i diritti fondamentali sono la clava per tentare di recuperare forza contrattuale… (c’è il TTIP che vaga…ma non voglio far dietrologia). Insomma, non so dire. Leggiamo e vedremo C Da: nexa-bounces@server-nexa.polito.it [mailto:nexa-bounces@server-nexa.polito.it] Per conto di fabio chiusi Inviato: martedì 6 ottobre 2015 11:33 A: 'nexa' Oggetto: Re: [nexa] Decisione Corte di giustizia europea invalida Safe Harbor Ma ora che succede? Non ho ben capito le conseguenze (immediate e non) di questa decisione... f. Il Martedì 6 Ottobre 2015 10:45, Antonio Casilli <antonio.casilli@telecom-paristech.fr> ha scritto: http://mobile.nytimes.com/2015/10/07/technology/european-union-us-data-colle... -- Antonio A. Casilli Associate Professor, Telecom ParisTech Research Fellow Edgar-Morin Center (EHESS) _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa

le soluzioni cui fai riferimento sarebbero sufficienti lato EU, ma come potrebbero implementarsi lato US? Le critiche della Corte paiono (correttamente) dirette al sistema legale US (carenza di limiti all'accesso ai dati da parte delle pubbliche autorità, mancanza di tutela giurisdizionale), come possono le imprese US opporsi a norme vincolanti della loro nazione? Temo che le model clauses o i ToS non bastino.... On Tue, 6 Oct 2015 12:55:23 +0200 (CEST) Antonio Casilli <antonio.casilli@telecom-paristech.fr> wrote:

Sarei meno catastrofista: in assenza di SafeHarbor per le aziende europee come per le piattaforme US è possibile introdurre clausole-tipo e migliorare i TOS per rendere trasparente l'accettazione da parte dell'utilizzatore del trasferimento internazionale e a terzi dei suoi dati personali. Che la cosa sia il segno di un "sussulto politico" contro il modus operandi NSA e quello delle sue sorelle sceme europee (DRIP, Mordaza, Renseignement...) è indubitabile. E che sia una occasione perché il settore digitale nostrano smetta di confidare nei grandi silos di dati per fare affari e si inventi qualche cosa di nuovo, magari non è poi male. Che imprese e startup nostrane imparino a fare delle cosettine un po' diverse dall'innovazione di paccottiglia del tipo "ho inventato una app che prende i dati dall'API di Gmail e poi ti vende gelati al tuo gusto preferito al prezzo stabilito da un RealTime bidding"

----- Mail original ----- De: "Blengino" <blengino@penalistiassociati.it> À: "fabio chiusi" <fabiochiusi@yahoo.it>, "nexa" <nexa@server-nexa.polito.it> Envoyé: Mardi 6 Octobre 2015 12:51:32 Objet: [nexa] R: Decisione Corte di giustizia europea invalida Safe Harbor

Tecnicamente di tutto, o più probabilmente nulla.

Vincolati come siamo ad una normativa nata 20anni fa (Zuckerberg aveva 11anni) si aprono scenari surreali, non tanto per i grandi titolari di trattamento stranieri basati in EU, quanto per le imprese UE cui teoricamente potrebbe esser inibito l’utilizzo di qualsivoglia servizio che comporti un trasferimento dei dati trattati verso US. E basta GMail o un qualsiasi servizio cloud (magari fornito da sp europeo, che utilizzi ridondanze extraUE tipo amazon ecc.ecc.)

Se debbo dire, sono molto incerto nella valutazione della sentenza: afferma principi importanti su di un punto cruciale, ovvero l’ingerenza dello Stato per ragioni di sicurezza nazionale e law enforcement, che è però materia del tutto estranea alla Direttiva del 95 che regolava unicamente il mercato (primo pilastro) e non giustizia e sicurezza. E questo è da sempre un vulnus anche per noi europei. E dunque non so dire se:

i) sia la forzatura di una Corte che si rende conto di esser l’ultimo baluardo per reagire ad una situazione inaccettabile nella compressione dei diritti fondamentali sul web da parte degli Stati (Governi UE inclusi: la condanna pare esplicita, non per Facebook ,ma alla sorveglianza da parte degli Stati, così che si parla a suocera perché moglie intenda);

ii) se sia la scelta politica e miope di sferrare l’ennesimo attacco all’egemonia economica USA, dove i diritti fondamentali sono la clava per tentare di recuperare forza contrattuale… (c’è il TTIP che vaga…ma non voglio far dietrologia).

Insomma, non so dire. Leggiamo e vedremo

C

Da: nexa-bounces@server-nexa.polito.it [mailto:nexa-bounces@server-nexa.polito.it] Per conto di fabio chiusi Inviato: martedì 6 ottobre 2015 11:33 A: 'nexa' Oggetto: Re: [nexa] Decisione Corte di giustizia europea invalida Safe Harbor

Ma ora che succede? Non ho ben capito le conseguenze (immediate e non) di questa decisione...

f.

Il Martedì 6 Ottobre 2015 10:45, Antonio Casilli < antonio.casilli@telecom-paristech.fr > ha scritto:

http://mobile.nytimes.com/2015/10/07/technology/european-union-us-data-colle...

-- Antonio A. Casilli Associate Professor, Telecom ParisTech Research Fellow Edgar-Morin Center (EHESS) _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa

_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa

-- Prof. Avv. Alessandro Mantelero Politecnico di Torino Nexa Center for Internet and Society | Director of Privacy Politecnico di Torino–Tongji University| Coordinator, Double Degree program in Management and IP Law Nanjing University of Information Science and Technology | Part-time Expert, School of Public Administration http://staff.polito.it/alessandro.mantelero @mantelero EMAIL POLICY: twice a day (Mon-Fri)

Resta il fatto che, clausole-tipo o no, a fronte di richieste per law enforcement le imprese US hanno poco da fare e che le pubbliche autorita' non sarebbero toccate da manovre del genere. Da anni va di moda la deregolazione e l'esaltazione del "private ordering", ma ogni tanto un po' "*diritto duro*" ci vuole Peraltro, mi pare che queste clausole-tipo si limitino ad obbligare il data importer a informare il data exporter di "any legally binding request for disclosure of the personal data by a law enforcement authority *unless otherwise* *prohibited*" Il giorno 6 ottobre 2015 12:17, Antonio Casilli < antonio.casilli@telecom-paristech.fr> ha scritto:

Non sono un esperto ma dal 1995 esiste una direttiva europea http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:en:HT... che interdice lo scambio di dati fra paesi "unsafe" ma che permette l'introduzione di clausole-tipo per il trasferimento internazionale di dati http://www.cnil.fr/fileadmin/documents/Vos_responsabilites/Transferts/CCT-20...

----- Mail original ----- De: "Alessandro Mantelero" <alessandro.mantelero@polito.it> À: "Antonio Casilli" <antonio.casilli@telecom-paristech.fr>, "Blengino" < blengino@penalistiassociati.it> Cc: "nexa" <nexa@server-nexa.polito.it> Envoyé: Mardi 6 Octobre 2015 13:07:47 Objet: Re: [nexa] R: Decisione Corte di giustizia europea invalida Safe Harbor

le soluzioni cui fai riferimento sarebbero sufficienti lato EU, ma come potrebbero implementarsi lato US? Le critiche della Corte paiono (correttamente) dirette al sistema legale US (carenza di limiti all'accesso ai dati da parte delle pubbliche autorità, mancanza di tutela giurisdizionale), come possono le imprese US opporsi a norme vincolanti della loro nazione? Temo che le model clauses o i ToS non bastino....

On Tue, 6 Oct 2015 12:55:23 +0200 (CEST) Antonio Casilli <antonio.casilli@telecom-paristech.fr> wrote:

...

Sarei meno catastrofista: in assenza di SafeHarbor per le aziende europee come per le piattaforme US è possibile introdurre clausole-tipo e migliorare i TOS per rendere trasparente l'accettazione da parte dell'utilizzatore del trasferimento internazionale e a terzi dei suoi dati personali. Che la cosa sia il segno di un "sussulto politico" contro il modus operandi NSA e quello delle sue sorelle sceme europee (DRIP, Mordaza, Renseignement...) è indubitabile. E che sia una occasione perché il settore digitale nostrano smetta di confidare nei grandi silos di dati per fare affari e si inventi qualche cosa di nuovo, magari non è poi male. Che imprese e startup nostrane imparino a fare delle cosettine un po' diverse dall'innovazione di paccottiglia del tipo "ho inventato una app che prende i dati dall'API di Gmail e poi ti vende gelati al tuo gusto preferito al prezzo stabilito da un RealTime bidding"

----- Mail original ----- De: "Blengino" <blengino@penalistiassociati.it> À: "fabio chiusi" <fabiochiusi@yahoo.it>, "nexa" <nexa@server-nexa.polito.it> Envoyé: Mardi 6 Octobre 2015 12:51:32 Objet: [nexa] R: Decisione Corte di giustizia europea invalida Safe Harbor

Tecnicamente di tutto, o più probabilmente nulla.

Vincolati come siamo ad una normativa nata 20anni fa (Zuckerberg aveva 11anni) si aprono scenari surreali, non tanto per i grandi titolari di trattamento stranieri basati in EU, quanto per le imprese UE cui teoricamente potrebbe esser inibito l’utilizzo di qualsivoglia servizio che comporti un trasferimento dei dati trattati verso US. E basta GMail o un qualsiasi servizio cloud (magari fornito da sp europeo, che utilizzi ridondanze extraUE tipo amazon ecc.ecc.)

Se debbo dire, sono molto incerto nella valutazione della sentenza: afferma principi importanti su di un punto cruciale, ovvero l’ingerenza dello Stato per ragioni di sicurezza nazionale e law enforcement, che è però materia del tutto estranea alla Direttiva del 95 che regolava unicamente il mercato (primo pilastro) e non giustizia e sicurezza. E questo è da sempre un vulnus anche per noi europei. E dunque non so dire se:

i) sia la forzatura di una Corte che si rende conto di esser l’ultimo baluardo per reagire ad una situazione inaccettabile nella compressione dei diritti fondamentali sul web da parte degli Stati (Governi UE inclusi: la condanna pare esplicita, non per Facebook ,ma alla sorveglianza da parte degli Stati, così che si parla a suocera perché moglie intenda);

ii) se sia la scelta politica e miope di sferrare l’ennesimo attacco all’egemonia economica USA, dove i diritti fondamentali sono la clava per tentare di recuperare forza contrattuale… (c’è il TTIP che vaga…ma non voglio far dietrologia).

Insomma, non so dire. Leggiamo e vedremo

C

Da: nexa-bounces@server-nexa.polito.it [mailto:nexa-bounces@server-nexa.polito.it] Per conto di fabio chiusi Inviato: martedì 6 ottobre 2015 11:33 A: 'nexa' Oggetto: Re: [nexa] Decisione Corte di giustizia europea invalida Safe Harbor

Ma ora che succede? Non ho ben capito le conseguenze (immediate e non) di questa decisione...

f.

Il Martedì 6 Ottobre 2015 10:45, Antonio Casilli < antonio.casilli@telecom-paristech.fr > ha scritto:

http://mobile.nytimes.com/2015/10/07/technology/european-union-us-data-colle...

...

-- Antonio A. Casilli Associate Professor, Telecom ParisTech Research Fellow Edgar-Morin Center (EHESS) _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa

_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa

-- Prof. Avv. Alessandro Mantelero Politecnico di Torino

Nexa Center for Internet and Society | Director of Privacy Politecnico di Torino–Tongji University| Coordinator, Double Degree program in Management and IP Law Nanjing University of Information Science and Technology | Part-time Expert, School of Public Administration

http://staff.polito.it/alessandro.mantelero @mantelero

EMAIL POLICY: twice a day (Mon-Fri) _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa

-- *Guido* Dr. Guido Noto La Diega <http://www.law.qmul.ac.uk/staff/notoladiega.html>, Postdoctoral Research Assistant in Cloud Computing Law <http://www.cloudlegal.ccls.qmul.ac.uk/project/researchers/index.html> - Queen Mary University of London <http://www.mccrc.eu/Pages/Research-Team.aspx> President of Ital-IoT <http://italiot.altervista.org/about-us/> - Centre of Multidisciplinary Research on the Internet of Things Avvocato <http://www.studioperrino.it/intro/index.asp> (Commercial and IP/IT Lawyer) Cultore della materia in Civil Law and Intellectual Property <http://www.unipa.it/persone/docenti/n/guido.notoladiega> - University of Palermo 67-69 Lincoln's Inn Fields London WC2A 3JB g.notoladiega@qmul.ac.uk +44(0)2078823386 @gui_notoladiega https://it.linkedin.com/pub/guido-noto-la-diega-ph-d/6/614/669 This e-mail and any attachment hereto are strictly confidential and are exclusively intended for the person above identified. Without intended recipient’s entitlement, use, copy and dissemination of this e-mail is prohibited. If you have received it in error, please advice us immediately by telephone and return the documents received to the above address, deleting the files. Thank you. Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte Informationen. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestaettet. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Danke. Il presente messaggio di posta elettronica ed ogni eventuale allegato contengono informazioni strettamente riservate e sono indirizzati esclusivamente al soggetto sopra indicato. In mancanza di autorizzazione del destinatario, ne sono vietati l’uso, la riproduzione e la divulgazione. Se avete ricevuto questo messaggio per errore, siete pregati di avvisarci immediatamente per telefono e di restituirci i documenti ricevuti all’indirizzo sopra indicato, distruggendo i file. Grazie. *BE ECO-FRIENDLY: Unless necessary, please do not print this e-mail *

appunto a quello facevo riferimento, all'applicabilità delle c.d. model clauses ("le soluzioni cui fai riferimento sarebbero sufficienti lato EU, ma come potrebbero implementarsi lato US?"). Microsoft, ad es. ha adottato le MC per il cloud e quindi può ricevere dati da EU anche su quella base. Tuttavia quando una norma imperativa US gli impone di dare accesso ai dati ad un agenzia governativa che fa? Segue il contratto o segue la norma imperativa? La stessa presenza di tali norme potrebbe poi rendere difficile l’ammissibilità medesima dell’adozione delle MC, specie alla luce di quanto ora affermato dalla ECJ. Le MC nascono per stati privi di regolamentazione e pongono sulle parti l'onere di fornire una protezione adeguata di natura contrattuale. Il modello va in crisi quando l'importatore deve soggiacere a norme imperative locali che, implicitamente, gli impongono di disattendere le tutele delle MC. Se poi leggi le MC ti puoi rendere conto come la loro implementazione non sia poi così semplice a fronte di organizzazioni complesse in termini di trattamento dati. Essa avrebbe inoltre notevoli implicazioni ad esempio in termini di richieste di cancellazione dei dati. Occorre infine non generalizzare nel prevedere gli scenari futuri. Il SH era una regola generale, di facile implementazione e, per questo, diverse imprese US lo avevano adottato. Ora, a fronte dell’invalidazione, le imprese dovranno meglio valutare le basi legali da utilizzare per il trasferimento, non solo le MC o le BCR, ma anche le deroghe di cui all’art 26 della direttiva o pensare a nuove forme di organizzazione che tengano in conto le esigenze di data protection. AM On Tue, 6 Oct 2015 13:17:18 +0200 (CEST) Antonio Casilli <antonio.casilli@telecom-paristech.fr> wrote:

Non sono un esperto ma dal 1995 esiste una direttiva europea http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:en:HT... che interdice lo scambio di dati fra paesi "unsafe" ma che permette l'introduzione di clausole-tipo per il trasferimento internazionale di dati http://www.cnil.fr/fileadmin/documents/Vos_responsabilites/Transferts/CCT-20...

----- Mail original ----- De: "Alessandro Mantelero" <alessandro.mantelero@polito.it> À: "Antonio Casilli" <antonio.casilli@telecom-paristech.fr>, "Blengino" <blengino@penalistiassociati.it> Cc: "nexa" <nexa@server-nexa.polito.it> Envoyé: Mardi 6 Octobre 2015 13:07:47 Objet: Re: [nexa] R: Decisione Corte di giustizia europea invalida Safe Harbor

le soluzioni cui fai riferimento sarebbero sufficienti lato EU, ma come potrebbero implementarsi lato US? Le critiche della Corte paiono (correttamente) dirette al sistema legale US (carenza di limiti all'accesso ai dati da parte delle pubbliche autorità, mancanza di tutela giurisdizionale), come possono le imprese US opporsi a norme vincolanti della loro nazione? Temo che le model clauses o i ToS non bastino....

On Tue, 6 Oct 2015 12:55:23 +0200 (CEST) Antonio Casilli <antonio.casilli@telecom-paristech.fr> wrote:

...

Sarei meno catastrofista: in assenza di SafeHarbor per le aziende europee come per le piattaforme US è possibile introdurre clausole-tipo e migliorare i TOS per rendere trasparente l'accettazione da parte dell'utilizzatore del trasferimento internazionale e a terzi dei suoi dati personali. Che la cosa sia il segno di un "sussulto politico" contro il modus operandi NSA e quello delle sue sorelle sceme europee (DRIP, Mordaza, Renseignement...) è indubitabile. E che sia una occasione perché il settore digitale nostrano smetta di confidare nei grandi silos di dati per fare affari e si inventi qualche cosa di nuovo, magari non è poi male. Che imprese e startup nostrane imparino a fare delle cosettine un po' diverse dall'innovazione di paccottiglia del tipo "ho inventato una app che prende i dati dall'API di Gmail e poi ti vende gelati al tuo gusto preferito al prezzo stabilito da un RealTime bidding"

----- Mail original ----- De: "Blengino" <blengino@penalistiassociati.it> À: "fabio chiusi" <fabiochiusi@yahoo.it>, "nexa" <nexa@server-nexa.polito.it> Envoyé: Mardi 6 Octobre 2015 12:51:32 Objet: [nexa] R: Decisione Corte di giustizia europea invalida Safe Harbor

Tecnicamente di tutto, o più probabilmente nulla.

Vincolati come siamo ad una normativa nata 20anni fa (Zuckerberg aveva 11anni) si aprono scenari surreali, non tanto per i grandi titolari di trattamento stranieri basati in EU, quanto per le imprese UE cui teoricamente potrebbe esser inibito l’utilizzo di qualsivoglia servizio che comporti un trasferimento dei dati trattati verso US. E basta GMail o un qualsiasi servizio cloud (magari fornito da sp europeo, che utilizzi ridondanze extraUE tipo amazon ecc.ecc.)

Se debbo dire, sono molto incerto nella valutazione della sentenza: afferma principi importanti su di un punto cruciale, ovvero l’ingerenza dello Stato per ragioni di sicurezza nazionale e law enforcement, che è però materia del tutto estranea alla Direttiva del 95 che regolava unicamente il mercato (primo pilastro) e non giustizia e sicurezza. E questo è da sempre un vulnus anche per noi europei. E dunque non so dire se:

i) sia la forzatura di una Corte che si rende conto di esser l’ultimo baluardo per reagire ad una situazione inaccettabile nella compressione dei diritti fondamentali sul web da parte degli Stati (Governi UE inclusi: la condanna pare esplicita, non per Facebook ,ma alla sorveglianza da parte degli Stati, così che si parla a suocera perché moglie intenda);

ii) se sia la scelta politica e miope di sferrare l’ennesimo attacco all’egemonia economica USA, dove i diritti fondamentali sono la clava per tentare di recuperare forza contrattuale… (c’è il TTIP che vaga…ma non voglio far dietrologia).

Insomma, non so dire. Leggiamo e vedremo

C

Da: nexa-bounces@server-nexa.polito.it [mailto:nexa-bounces@server-nexa.polito.it] Per conto di fabio chiusi Inviato: martedì 6 ottobre 2015 11:33 A: 'nexa' Oggetto: Re: [nexa] Decisione Corte di giustizia europea invalida Safe Harbor

Ma ora che succede? Non ho ben capito le conseguenze (immediate e non) di questa decisione...

f.

Il Martedì 6 Ottobre 2015 10:45, Antonio Casilli < antonio.casilli@telecom-paristech.fr > ha scritto:

http://mobile.nytimes.com/2015/10/07/technology/european-union-us-data-colle...

-- Antonio A. Casilli Associate Professor, Telecom ParisTech Research Fellow Edgar-Morin Center (EHESS) _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa

_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa

-- Prof. Avv. Alessandro Mantelero Politecnico di Torino

Nexa Center for Internet and Society | Director of Privacy Politecnico di Torino–Tongji University| Coordinator, Double Degree program in Management and IP Law Nanjing University of Information Science and Technology | Part-time Expert, School of Public Administration

http://staff.polito.it/alessandro.mantelero @mantelero

EMAIL POLICY: twice a day (Mon-Fri)

-- Prof. Avv. Alessandro Mantelero Politecnico di Torino Nexa Center for Internet and Society | Director of Privacy Politecnico di Torino–Tongji University| Coordinator, Double Degree program in Management and IP Law Nanjing University of Information Science and Technology | Part-time Expert, School of Public Administration http://staff.polito.it/alessandro.mantelero @mantelero EMAIL POLICY: twice a day (Mon-Fri)

Aggiungo 2 considerazioni: 1) non mi pare che in Europa ci siano garanzie maggiori che in USA circa l'accesso indiscriminato e massivo di dati personali da parte di autorità pubbliche (l'operazione Tempora dell'agenzia britannica GCHQ docet); 2) per quanto concerne la legislazione italiana, il codice privacy oltre al consenso dell'interessato al trasferimento all'estero (art.43) prevede in capo al titolare anche l'obbligo di notificazione del trattamento al Garante (art.37, 3º co.) Un caro saluto, Monica Il giorno 06 ott 2015, alle ore 13:07, Alessandro Mantelero <alessandro.mantelero@polito.it> ha scritto: le soluzioni cui fai riferimento sarebbero sufficienti lato EU, ma come potrebbero implementarsi lato US? Le critiche della Corte paiono (correttamente) dirette al sistema legale US (carenza di limiti all'accesso ai dati da parte delle pubbliche autorità, mancanza di tutela giurisdizionale), come possono le imprese US opporsi a norme vincolanti della loro nazione? Temo che le model clauses o i ToS non bastino.... On Tue, 6 Oct 2015 12:55:23 +0200 (CEST) Antonio Casilli <antonio.casilli@telecom-paristech.fr> wrote:

Sarei meno catastrofista: in assenza di SafeHarbor per le aziende europee come per le piattaforme US è possibile introdurre clausole-tipo e migliorare i TOS per rendere trasparente l'accettazione da parte dell'utilizzatore del trasferimento internazionale e a terzi dei suoi dati personali. Che la cosa sia il segno di un "sussulto politico" contro il modus operandi NSA e quello delle sue sorelle sceme europee (DRIP, Mordaza, Renseignement...) è indubitabile. E che sia una occasione perché il settore digitale nostrano smetta di confidare nei grandi silos di dati per fare affari e si inventi qualche cosa di nuovo, magari non è poi male. Che imprese e startup nostrane imparino a fare delle cosettine un po' diverse dall'innovazione di paccottiglia del tipo "ho inventato una app che prende i dati dall'API di Gmail e poi ti vende gelati al tuo gusto preferito al prezzo stabilito da un RealTime bidding" ----- Mail original ----- De: "Blengino" <blengino@penalistiassociati.it> À: "fabio chiusi" <fabiochiusi@yahoo.it>, "nexa" <nexa@server-nexa.polito.it> Envoyé: Mardi 6 Octobre 2015 12:51:32 Objet: [nexa] R: Decisione Corte di giustizia europea invalida Safe Harbor Tecnicamente di tutto, o più probabilmente nulla. Vincolati come siamo ad una normativa nata 20anni fa (Zuckerberg aveva 11anni) si aprono scenari surreali, non tanto per i grandi titolari di trattamento stranieri basati in EU, quanto per le imprese UE cui teoricamente potrebbe esser inibito l’utilizzo di qualsivoglia servizio che comporti un trasferimento dei dati trattati verso US. E basta GMail o un qualsiasi servizio cloud (magari fornito da sp europeo, che utilizzi ridondanze extraUE tipo amazon ecc.ecc.) Se debbo dire, sono molto incerto nella valutazione della sentenza: afferma principi importanti su di un punto cruciale, ovvero l’ingerenza dello Stato per ragioni di sicurezza nazionale e law enforcement, che è però materia del tutto estranea alla Direttiva del 95 che regolava unicamente il mercato (primo pilastro) e non giustizia e sicurezza. E questo è da sempre un vulnus anche per noi europei. E dunque non so dire se: i) sia la forzatura di una Corte che si rende conto di esser l’ultimo baluardo per reagire ad una situazione inaccettabile nella compressione dei diritti fondamentali sul web da parte degli Stati (Governi UE inclusi: la condanna pare esplicita, non per Facebook ,ma alla sorveglianza da parte degli Stati, così che si parla a suocera perché moglie intenda); ii) se sia la scelta politica e miope di sferrare l’ennesimo attacco all’egemonia economica USA, dove i diritti fondamentali sono la clava per tentare di recuperare forza contrattuale… (c’è il TTIP che vaga…ma non voglio far dietrologia). Insomma, non so dire. Leggiamo e vedremo C Da: nexa-bounces@server-nexa.polito.it [mailto:nexa-bounces@server-nexa.polito.it] Per conto di fabio chiusi Inviato: martedì 6 ottobre 2015 11:33 A: 'nexa' Oggetto: Re: [nexa] Decisione Corte di giustizia europea invalida Safe Harbor Ma ora che succede? Non ho ben capito le conseguenze (immediate e non) di questa decisione... f. Il Martedì 6 Ottobre 2015 10:45, Antonio Casilli < antonio.casilli@telecom-paristech.fr > ha scritto: http://mobile.nytimes.com/2015/10/07/technology/european-union-us-data-colle... -- Antonio A. Casilli Associate Professor, Telecom ParisTech Research Fellow Edgar-Morin Center (EHESS) _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa

-- Prof. Avv. Alessandro Mantelero Politecnico di Torino Nexa Center for Internet and Society | Director of Privacy Politecnico di Torino–Tongji University| Coordinator, Double Degree program in Management and IP Law Nanjing University of Information Science and Technology | Part-time Expert, School of Public Administration http://staff.polito.it/alessandro.mantelero @mantelero EMAIL POLICY: twice a day (Mon-Fri) _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa

On 10/10/2015 13:59, Marco Ciurcina wrote:

In data martedì 6 ottobre 2015 12:51:32, Blengino ha scritto:

...

Tecnicamente di tutto, o più probabilmente nulla.

Vincolati come siamo ad una normativa nata 20anni fa (Zuckerberg aveva 11anni) si aprono scenari surreali, non tanto per i grandi titolari di trattamento stranieri basati in EU, L'effetto è che potrebbero perdere clienti. Speriamo si rendano conto che, per loro, è fondamentale fare pressione sul governo USA perchè rispetti i diritti umani degli stranieri (europei e non solo).

Non credo che il governo US sia incline a mitigare la raccolta dati contro persone non-US su territorio US (FAA Section 702), quello che la NSA definisce "the most significant tool in the NSA collection arsenal for the detection, identification, and disruption of terrorist threats to the U.S. and around the world. " <https://www.nsa.gov/public_info/_files/speeches_testimonies/2013_08_09_the_n...> E' piú probabile che cerchi di convincere la Commissione a ripristinare le "tutele" di SH sostenendo che negli USA *ci sono già* sufficienti garanzie per gli stranieri e cercherà di renderle esplicite, magari con qualche operazione di "cosmetica giuridica". Cosa che, secondo questo commentatore, avrebbe già dovuto fare: "So how could the CJEU be unaware of the extensive certifications, checks, balances, judicial approval and independent oversight applicable to the national security surveillance in question? The answer is because the U.S. government simply does not defend or even explain how the privacy system works—neither with respect to national security privacy issues, nor with respect to commercial privacy regulation. The President has designated no one to be in overall charge of coordinating these issues government-wide and to serve as a senior public spokesperson with responsibility to communicate effectively on privacy to foreign and domestic constituencies. Accordingly, it is no wonder that the CJEU made no real effort (indeed no effort at all) to understand the significant protections built into the U.S. system, even for foreigners." <http://blogs.cfr.org/cyber/2015/10/08/the-u-s-government-largely-has-itself-...> Per mettere alla prova SH (quello vecchio o quello che verrà) ci vorrebbe una sentenza US in cui un cittadino UE ottiene tutela per quanto garantito dall'accordo. Alberto

...

quanto per le imprese UE cui teoricamente potrebbe esser inibito l’utilizzo di qualsivoglia servizio che comporti un trasferimento dei dati trattati verso US. E basta GMail o un qualsiasi servizio cloud (magari fornito da sp europeo, che utilizzi ridondanze extraUE tipo amazon ecc.ecc.) Già.. E non solo le imprese: anche la PA. Penso, per esempio, all'inavvertita scelta di molte università italiane che hanno migrato i servizi di posta per docenti, studenti e personale amministrativo a servizi offerti gratuitamente da Google. E al nostro Ministro dell'Istruzione che, avvertitone da più d'un anno, non ha neppure ritenuto di rispondere a un'interpellanza di Quintarelli http://aic.camera.it/aic/scheda.html?numero=4/05980&ramo=CAMERA&leg=17

Credo che, alla luce della sentenza Schrems, ci si possa aspettare che qualche professore e/o studente di quelle università si rivolgerà al Garante della Privacy per chiedere di verificare se l'adzione di servizi offerti da imprese USA che prevede il trasferimento dei dati extra-UE è conforme al diritto.

m.c.

...

Se debbo dire, sono molto incerto nella valutazione della sentenza: afferma principi importanti su di un punto cruciale, ovvero l’ingerenza dello Stato per ragioni di sicurezza nazionale e law enforcement, che è però materia del tutto estranea alla Direttiva del 95 che regolava unicamente il mercato (primo pilastro) e non giustizia e sicurezza. E questo è da sempre un vulnus anche per noi europei. E dunque non so dire se:

i) sia la forzatura di una Corte che si rende conto di esser l’ultimo baluardo per reagire ad una situazione inaccettabile nella compressione dei diritti fondamentali sul web da parte degli Stati (Governi UE inclusi: la condanna pare esplicita, non per Facebook ,ma alla sorveglianza da parte degli Stati, così che si parla a suocera perché moglie intenda);

ii) se sia la scelta politica e miope di sferrare l’ennesimo attacco all’egemonia economica USA, dove i diritti fondamentali sono la clava per tentare di recuperare forza contrattuale… (c’è il TTIP che vaga…ma non voglio far dietrologia).

Insomma, non so dire. Leggiamo e vedremo

C

Da: nexa-bounces@server-nexa.polito.it [mailto:nexa-bounces@server-nexa.polito.it] Per conto di fabio chiusi Inviato: martedì 6 ottobre 2015 11:33 A: 'nexa' Oggetto: Re: [nexa] Decisione Corte di giustizia europea invalida Safe Harbor

Ma ora che succede? Non ho ben capito le conseguenze (immediate e non) di questa decisione...

f.

Il Martedì 6 Ottobre 2015 10:45, Antonio Casilli <antonio.casilli@telecom-paristech.fr> ha scritto:

http://mobile.nytimes.com/2015/10/07/technology/european-union-us-data-colle ction.html

_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa

In data sabato 10 ottobre 2015 15:06:43, Carlo Blengino ha scritto:

Marco,

so che la pensiamo diversamente, ma riconosco le tue ottime ragioni.

Sulla sentenza ho molte perplessità e ne approfitto per inoltrare in lista il link al pezzo che ho appena scritto...e che immagino non troverà grandi consensi.

Parliamone, come sempre ;) sei sicuro che la sentenza Schrems sia "debole" e non avrà effetto? io, se ci devo scommettere un caffè, scommento sul contrario. IMHO ci sono già avvocati che stanno scrivendo esposti e ricorsi ai diversi Garanti europei. tireremo le somme tra un po' (non credo moltissimo..). ;-) ciao, m.c.

I miei dati al di là dell'oceano http://www.ilpost.it/carloblengino/2015/10/10/i-miei-dati-aldila-delloceano/

C. Il 10/Ott/2015 14:02, "Marco Ciurcina" <ciurcina@studiolegale.it> ha

scritto:

...

In data martedì 6 ottobre 2015 12:51:32, Blengino ha scritto:

...

Tecnicamente di tutto, o più probabilmente nulla.

Vincolati come siamo ad una normativa nata 20anni fa (Zuckerberg aveva 11anni) si aprono scenari surreali, non tanto per i grandi titolari di trattamento stranieri basati in EU,

L'effetto è che potrebbero perdere clienti. Speriamo si rendano conto che, per loro, è fondamentale fare pressione sul governo USA perchè rispetti i diritti umani degli stranieri (europei e non solo).

...

quanto per le imprese UE cui teoricamente potrebbe esser inibito l’utilizzo di qualsivoglia servizio che comporti un trasferimento dei dati trattati verso US. E basta GMail o un qualsiasi servizio cloud (magari fornito da sp europeo, che utilizzi ridondanze extraUE tipo amazon ecc.ecc.)

Già.. E non solo le imprese: anche la PA. Penso, per esempio, all'inavvertita scelta di molte università italiane che hanno migrato i servizi di posta per docenti, studenti e personale amministrativo a servizi offerti gratuitamente da Google. E al nostro Ministro dell'Istruzione che, avvertitone da più d'un anno, non ha neppure ritenuto di rispondere a un'interpellanza di Quintarelli http://aic.camera.it/aic/scheda.html?numero=4/05980&ramo=CAMERA&leg=17

Credo che, alla luce della sentenza Schrems, ci si possa aspettare che qualche professore e/o studente di quelle università si rivolgerà al Garante della Privacy per chiedere di verificare se l'adzione di servizi offerti da imprese USA che prevede il trasferimento dei dati extra-UE è conforme al diritto.

m.c.

...

Se debbo dire, sono molto incerto nella valutazione della sentenza: afferma

...

principi importanti su di un punto cruciale, ovvero l’ingerenza dello

Stato

...

per ragioni di sicurezza nazionale e law enforcement, che è però materia del tutto estranea alla Direttiva del 95 che regolava unicamente il

mercato

...

(primo pilastro) e non giustizia e sicurezza. E questo è da sempre un vulnus anche per noi europei. E dunque non so dire se:

i) sia la forzatura di una Corte che si rende conto di esser l’ultimo baluardo per reagire ad una situazione inaccettabile nella compressione dei diritti fondamentali sul web da parte degli Stati

(Governi

...

UE inclusi: la condanna pare esplicita, non per Facebook ,ma alla sorveglianza da parte degli Stati, così che si parla a suocera perché moglie intenda);

ii) se sia la scelta politica e miope di sferrare l’ennesimo attacco all’egemonia economica USA, dove i diritti

fondamentali

...

sono la clava per tentare di recuperare forza contrattuale… (c’è il TTIP che vaga…ma non voglio far dietrologia).

Insomma, non so dire. Leggiamo e vedremo

C

Da: nexa-bounces@server-nexa.polito.it [mailto:nexa-bounces@server-nexa.polito.it] Per conto di fabio chiusi Inviato: martedì 6 ottobre 2015 11:33 A: 'nexa' Oggetto: Re: [nexa] Decisione Corte di giustizia europea invalida Safe Harbor

Ma ora che succede? Non ho ben capito le conseguenze (immediate e non) di questa decisione...

f.

Il Martedì 6 Ottobre 2015 10:45, Antonio Casilli

...

<antonio.casilli@telecom-paristech.fr> ha scritto: http://mobile.nytimes.com/2015/10/07/technology/european-union-us-data-col le> ction.html

Concordo con molto di quanto e' stato detto. Vorrei che qualcuno mi spiegasse, pero', cosa resta dell'articolo 25(6) se le decisioni della Commissione non hanno piu' l'effetto di evitare l'intervento delle DPA. Teoricamente e' stata invalidata la decisione SH, ma mi pare che il 25(6) sia stato di fatto completamente svuotato. 2015-10-10 16:45 GMT+01:00 Alessandro Mantelero < alessandro.mantelero@polito.it>:

Concordo con Marco. Una decisione che invalida un accordo su cui si basa la legittimità del trasferimento di gran parte dei flussi di dati da EU ad US, non mi pare una “pregevole dichiarazione di principi senza pratici effetti”. In tal senso, tutte le istituzioni che si occupano di data protection (Commissione EU, ART29WP, Garanti, FTC) e gli esperti in materia su entrambe le sponde dell’Atlantico paiono aver ben differente opinione.

L’art. 25 (1) della dir. 94/56/EC prevede che “The Member States shall provide that the transfer to a third country of personal data which are undergoing processing or are intended for processing after transfer may take place only if, without prejudice to compliance with the national provisions adopted pursuant to the other provisions of this Directive, the third country in question ensures an adequate level of protection”. Ai sensi del medesimo articolo, la Commissione può accertare che il livello di protezione offerto da uno stato terzo sia adeguato e, nel caso degli US, lo ha fatto attraverso la decisione sul c.d. principi di Safe Harbor.

Invalidata ora tale decisione, viene a mancare l’accertamento dell’adeguatezza ad opera della Commissione. Ne consegue che con riguardo agli US (che vengono Ca trovarsi nella posizione comune a molti altri stati) le autorità garanti nazionali potrebbero valutare il livello di protezione offerto dal sistema giuridico statunitense e ritenerlo inadeguato (la Corte pare fornire diversi argomenti). Se ciò accadesse, le imprese dovrebbero trovare specifiche e diverse basi giuridiche di legittimazione dei flussi di dati, le stesse già utilizzate per l’invio di dati verso altre nazioni. Il tutto non mi pare possa dirsi proprio un processo privo di effetti pratici…

AM

On Sat, 10 Oct 2015 15:18:41 +0200 Marco Ciurcina <ciurcina@studiolegale.it> wrote:

...

In data sabato 10 ottobre 2015 15:06:43, Carlo Blengino ha scritto:

...

Marco,

so che la pensiamo diversamente, ma riconosco le tue ottime ragioni.

Sulla sentenza ho molte perplessità e ne approfitto per inoltrare in lista il link al pezzo che ho appena scritto...e che immagino non troverà grandi consensi.

Parliamone, come sempre ;)

sei sicuro che la sentenza Schrems sia "debole" e non avrà effetto? io, se ci devo scommettere un caffè, scommento sul contrario. IMHO ci sono già avvocati che stanno scrivendo esposti e ricorsi ai diversi Garanti europei. tireremo le somme tra un po' (non credo moltissimo..). ;-) ciao, m.c.

...

I miei dati al di là dell'oceano

http://www.ilpost.it/carloblengino/2015/10/10/i-miei-dati-aldila-delloceano/

C. Il 10/Ott/2015 14:02, "Marco Ciurcina" <ciurcina@studiolegale.it> ha

scritto:

...

In data martedì 6 ottobre 2015 12:51:32, Blengino ha scritto:

...

Tecnicamente di tutto, o più probabilmente nulla.

...

> Vincolati come siamo ad una normativa nata 20anni fa (Zuckerberg aveva 11anni) si aprono scenari surreali, non tanto per i grandi titolari di trattamento stranieri basati in EU, L'effetto è che potrebbero perdere clienti. Speriamo si rendano conto che, per loro, è fondamentale fare pressione sul governo USA perchè rispetti i diritti umani degli stranieri (europei e non solo). quanto per le imprese UE cui teoricamente potrebbe esser inibito l’utilizzo di qualsivoglia servizio che comporti un trasferimento dei dati trattati verso US. E basta GMail o un qualsiasi servizio cloud (magari fornito da sp europeo, che utilizzi ridondanze extraUE tipo amazon ecc.ecc.) Già.. E non solo le imprese: anche la PA. Penso, per esempio, all'inavvertita scelta di molte università italiane che hanno migrato i servizi di posta per docenti, studenti e personale amministrativo a servizi offerti gratuitamente da Google. E al nostro Ministro dell'Istruzione che, avvertitone da più d'un anno, non ha neppure ritenuto di rispondere a un'interpellanza di Quintarelli http://aic.camera.it/aic/scheda.html?numero=4/05980&ramo=CAMERA&leg=17 Credo che, alla luce della sentenza Schrems, ci si possa aspettare che qualche professore e/o studente di quelle università si rivolgerà al Garante della Privacy per chiedere di verificare se l'adzione di servizi offerti da imprese USA che prevede il trasferimento dei dati extra-UE è conforme al diritto. m.c. Se debbo dire, sono molto incerto nella valutazione della sentenza: afferma principi importanti su di un punto cruciale, ovvero l’ingerenza dello Stato per ragioni di sicurezza nazionale e law enforcement, che è però materia del tutto estranea alla Direttiva del 95 che regolava unicamente il mercato (primo pilastro) e non giustizia e sicurezza. E questo è da sempre un vulnus anche per noi europei. E dunque non so dire se: > i) sia la forzatura di una Corte che si rende conto di esser l’ultimo baluardo per reagire ad una situazione inaccettabile nella compressione dei diritti fondamentali sul web da parte degli Stati (Governi UE inclusi: la condanna pare esplicita, non per Facebook ,ma alla sorveglianza da parte degli Stati, così che si parla a suocera perché moglie intenda); > ii) se sia la scelta politica e miope di sferrare l’ennesimo attacco all’egemonia economica USA, dove i diritti fondamentali sono la clava per tentare di recuperare forza contrattuale… (c’è il TTIP che vaga…ma non voglio far dietrologia). > Insomma, non so dire. Leggiamo e vedremo > C > > > > > Da: nexa-bounces@server-nexa.polito.it [mailto:nexa-bounces@server-nexa.polito.it] Per conto di fabio chiusi Inviato: martedì 6 ottobre 2015 11:33 A: 'nexa' Oggetto: Re: [nexa] Decisione Corte di giustizia europea invalida Safe Harbor > > > > > Ma ora che succede? Non ho ben capito le conseguenze (immediate e non) di questa decisione... > f. > > > > > > > > > Il Martedì 6 Ottobre 2015 10:45, Antonio Casilli <antonio.casilli@telecom-paristech.fr> ha scritto:

http://mobile.nytimes.com/2015/10/07/technology/european-union-us-data-col

...

le> > > ction.html

_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa

-- Prof. Avv. Alessandro Mantelero Politecnico di Torino

Nexa Center for Internet and Society | Director of Privacy Politecnico di Torino–Tongji University| Coordinator, Double Degree program in Management and IP Law Nanjing University of Information Science and Technology | Part-time Expert, School of Public Administration

http://staff.polito.it/alessandro.mantelero @mantelero

EMAIL POLICY: twice a day (Mon-Fri) _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa

-- *Guido* Dr. Guido Noto La Diega <http://www.law.qmul.ac.uk/staff/notoladiega.html>, Postdoctoral Research Assistant in Cloud Computing Law <http://www.cloudlegal.ccls.qmul.ac.uk/project/researchers/index.html> - Queen Mary University of London <http://www.mccrc.eu/Pages/Research-Team.aspx> President of Ital-IoT <http://italiot.altervista.org/about-us/> - Centre of Multidisciplinary Research on the Internet of Things Avvocato <http://www.studioperrino.it/intro/index.asp> (Commercial and IP/IT Lawyer) Cultore della materia in Civil Law and Intellectual Property <http://www.unipa.it/persone/docenti/n/guido.notoladiega> - University of Palermo 67-69 Lincoln's Inn Fields London WC2A 3JB g.notoladiega@qmul.ac.uk +44(0)2078823386 @gui_notoladiega https://it.linkedin.com/pub/guido-noto-la-diega-ph-d/6/614/669 This e-mail and any attachment hereto are strictly confidential and are exclusively intended for the person above identified. Without intended recipient’s entitlement, use, copy and dissemination of this e-mail is prohibited. If you have received it in error, please advice us immediately by telephone and return the documents received to the above address, deleting the files. Thank you. Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte Informationen. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestaettet. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Danke. Il presente messaggio di posta elettronica ed ogni eventuale allegato contengono informazioni strettamente riservate e sono indirizzati esclusivamente al soggetto sopra indicato. In mancanza di autorizzazione del destinatario, ne sono vietati l’uso, la riproduzione e la divulgazione. Se avete ricevuto questo messaggio per errore, siete pregati di avvisarci immediatamente per telefono e di restituirci i documenti ricevuti all’indirizzo sopra indicato, distruggendo i file. Grazie. *BE ECO-FRIENDLY: Unless necessary, please do not print this e-mail *

In data sabato 10 ottobre 2015 18:45:04, Alessandro Mantelero ha scritto:

Se la Commissione adotta una decisione ai sensi del 25(6) solo la ECJ potrà dichiararla invalida, aprendo la strada poi alla valutazione di adeguatezza delle DPAs (garanti). La via dunque, in presenza di decisione, non è così breve. Mi domando se sia probabile che la Commissione adotti una nuova decisione che non sia più che solidissima.

Mi domando anche se, secondo gli orientamenti giurisprudenziali della Corte UE, si possa dimostrare che dalla illegittima decisione 2000/520/CE è derivato un danno per i cittadini europei e se ci siano gli estremi perchè questi promuovano un'azione di risarcimento nei confronti della Commissione Europea. m.c.

Further to its initial public statement regarding the ECJ Safe Harbor judgement, the Austrian DPA has released an update, clarifying its position that, for the time being, the Austrian DPA will accept EU Model Clauses or Binding Corporate Rules as basis for transfers of personal data to the USA. Wheras the use of both EU Model Clauses or Binding Corporate Rules requires an approval of the DPA for the specific case of data transfer, there is at least clarity now that EU Model Clauses and Binding Corporate Rules are accepted as legal basis for obtaining approval in Austria. http://www.technologyslegaledge.com/2015/10/13/austria-update-by-the-dpa-reg... Sent from my iPhone

On 11/ott/2015, at 15:57, Alessandro Mantelero <alessandro.mantelero@polito.it> wrote:

Marco, il mio era un discorso generale sull'art. 25 e sul permanere (a mio parere) della sua rilevanza nel sistema di data protection. Questo in risposta al rilievo di Guido. Non era dunque riferito alla specifica eventualità di una nuova decisione sui flussi EU-US, che comunque è in fase avanzata di discussione.

AM

On Sun, 11 Oct 2015 16:29:21 +0200 Marco Ciurcina <ciurcina@studiolegale.it> wrote:

...

In data sabato 10 ottobre 2015 18:45:04, Alessandro Mantelero ha scritto:

...

Se la Commissione adotta una decisione ai sensi del 25(6) solo la ECJ potrà dichiararla invalida, aprendo la strada poi alla valutazione di adeguatezza delle DPAs (garanti). La via dunque, in presenza di decisione, non è così breve. Mi domando se sia probabile che la Commissione adotti una nuova decisione che non sia più che solidissima. Mi domando anche se, secondo gli orientamenti giurisprudenziali della Corte UE, si possa dimostrare che dalla illegittima decisione 2000/520/CE è derivato un danno per i cittadini europei e se ci siano gli estremi perchè questi promuovano un'azione di risarcimento nei confronti della Commissione Europea. m.c.

-- Prof. Avv. Alessandro Mantelero Politecnico di Torino

Nexa Center for Internet and Society | Director of Privacy Politecnico di Torino–Tongji University| Coordinator, Double Degree program in Management and IP Law Nanjing University of Information Science and Technology | Part-time Expert, School of Public Administration

http://staff.polito.it/alessandro.mantelero @mantelero

EMAIL POLICY: twice a day (Mon-Fri)

Io forse ho una visione compromessa dal mio lavoro, e se è così me ne scuso, ma davvero mi pare una situazione surreale. Stiamo parlando del problema della sorveglianza e dell'interferenza delle Pubbliche Autorità, non di come tratta i dati per fini commerciali questo o quel provider. Su questo mi pare si incentri la sentenza. Ora: 1) A quel tipo di trattamenti NON si applica nessuno, e dico nessuno, dei diritti e delle disposizioni di cui alle varie direttive in tema di protezione dati, che sono tutte emesse in relazione al mercato (pre Lisbona): e infatti stiamo discutendo di consensi, clausole contrattuali TOS ecc.ecc. Lo trovo deprimente. Come la storia dei cookie: adesso siamo tutti più sereni che abbiamo i banner a scassare i cabasisi.... Dopo la "fondamentale" sentenza avremo una clausolina in più nelle informative, a pagina 44, per dirci che Facebook è a Palo Alto eh, non a Poirino, e che lì tratta i nostri dati (che poi non è neppure necessaria...). Daremo il consenso et voillaz. La stessa cosa faranno le università e le imprese che usano il cloud. Qualche azienda italiana o europea avrà qualche casino contrattuale con i suoi clienti ma poca roba.Fine del discorso. Questo lato utenti, perché lato Governi ci saranno mille mosse politiche per giocare a chi vince sul petrolio del XXI secolo (e abbiamo già perso se continuiamo così) 2) intanto i provader italiani ed europei, e le Telco, sono tendenzialmente a disposizione delle autorità (e ogni tanto i soggetti addirittura coincidono...) Chi come e per quali finalità accede ai dati da loro trattati (e conservati per anni) è un mistero: sicurezza nazionale e law enforcement sono liberi da qualsiasi vincolo europeo (se si eccettua una blanda Decisione Gai del 2008 sulla cooperazione nel penale). Paradossalmente la legislazione Italiana è più tutelante, tant'è che l'NSA ha rinunciato ad un coinvolgimento diretto. Le banche dati delle varie autorità (da quelle di polizia a quelle del DIS e del Sistema informativo fiscale) sono impenetrabili e non c'è diritto che tenga posto che la direttiva non si applica. In Italia abbiamo istituito una (delirante) banca dati del DNA che non è mai partita, ma il DNA di oltre 20mila italiani certamente estranei al reato sono stati sequenziati dalla procura di Brescia per un singolo caso di omicidio, ed in quel caso sono stati acquisiti a strascico i metadati di tutti coloro che erano collegati a decine di celle. Tutto bene? Dove sono quei dati? Come sono custoditi? Prova a fare domande....Non hai alcun diritto. E se per un omicidio sequenziamo il DNA di 20mila italiani, non oso pensare al primo attentato cosa succederà.... Può esser un errore che un'istituzione pubblica usi Google: ne comprendo perfettamente le motivazioni, ma non mi si dica che quell'istituzione non sa che Google tratta i dati in America (che poi non è neppure cosi) ...deve dirlo ai suoi utenti? Si.Punto. Insomma, mi pare che la Corte, nella buona fede di voler riportare al centro il diritto alla protezione dei dati, abbia fatto un inutile pasticcio forzando la direttiva del 95 lasciando i vari regolatori nella totale incertezza (e così mi spiego l'agitazione ). Poi magari sbaglio approccio eh, Aperto a ogni discussione. Carlo In mobilità

Il giorno 10 ott 2015, alle ore 18:18, Guido Noto La Diega <noto.la.diega@gmail.com> ha scritto:

Concordo con molto di quanto e' stato detto. Vorrei che qualcuno mi spiegasse, pero', cosa resta dell'articolo 25(6) se le decisioni della Commissione non hanno piu' l'effetto di evitare l'intervento delle DPA. Teoricamente e' stata invalidata la decisione SH, ma mi pare che il 25(6) sia stato di fatto completamente svuotato.

2015-10-10 16:45 GMT+01:00 Alessandro Mantelero <alessandro.mantelero@polito.it>:

...

Concordo con Marco. Una decisione che invalida un accordo su cui si basa la legittimità del trasferimento di gran parte dei flussi di dati da EU ad US, non mi pare una “pregevole dichiarazione di principi senza pratici effetti”. In tal senso, tutte le istituzioni che si occupano di data protection (Commissione EU, ART29WP, Garanti, FTC) e gli esperti in materia su entrambe le sponde dell’Atlantico paiono aver ben differente opinione.

L’art. 25 (1) della dir. 94/56/EC prevede che “The Member States shall provide that the transfer to a third country of personal data which are undergoing processing or are intended for processing after transfer may take place only if, without prejudice to compliance with the national provisions adopted pursuant to the other provisions of this Directive, the third country in question ensures an adequate level of protection”. Ai sensi del medesimo articolo, la Commissione può accertare che il livello di protezione offerto da uno stato terzo sia adeguato e, nel caso degli US, lo ha fatto attraverso la decisione sul c.d. principi di Safe Harbor.

Invalidata ora tale decisione, viene a mancare l’accertamento dell’adeguatezza ad opera della Commissione. Ne consegue che con riguardo agli US (che vengono Ca trovarsi nella posizione comune a molti altri stati) le autorità garanti nazionali potrebbero valutare il livello di protezione offerto dal sistema giuridico statunitense e ritenerlo inadeguato (la Corte pare fornire diversi argomenti). Se ciò accadesse, le imprese dovrebbero trovare specifiche e diverse basi giuridiche di legittimazione dei flussi di dati, le stesse già utilizzate per l’invio di dati verso altre nazioni. Il tutto non mi pare possa dirsi proprio un processo privo di effetti pratici…

AM

On Sat, 10 Oct 2015 15:18:41 +0200 Marco Ciurcina <ciurcina@studiolegale.it> wrote:

...

In data sabato 10 ottobre 2015 15:06:43, Carlo Blengino ha scritto:

...

Marco,

so che la pensiamo diversamente, ma riconosco le tue ottime ragioni.

Sulla sentenza ho molte perplessità e ne approfitto per inoltrare in lista il link al pezzo che ho appena scritto...e che immagino non troverà grandi consensi.

Parliamone, come sempre ;) sei sicuro che la sentenza Schrems sia "debole" e non avrà effetto? io, se ci devo scommettere un caffè, scommento sul contrario. IMHO ci sono già avvocati che stanno scrivendo esposti e ricorsi ai diversi Garanti europei. tireremo le somme tra un po' (non credo moltissimo..). ;-) ciao, m.c.

...

I miei dati al di là dell'oceano http://www.ilpost.it/carloblengino/2015/10/10/i-miei-dati-aldila-delloceano/

C. Il 10/Ott/2015 14:02, "Marco Ciurcina" <ciurcina@studiolegale.it> ha

scritto:

...

In data martedì 6 ottobre 2015 12:51:32, Blengino ha scritto:

...

Tecnicamente di tutto, o più probabilmente nulla. > > Vincolati come siamo ad una normativa nata 20anni fa (Zuckerberg aveva 11anni) si aprono scenari surreali, non tanto per i grandi titolari di trattamento stranieri basati in EU, L'effetto è che potrebbero perdere clienti. Speriamo si rendano conto che, per loro, è fondamentale fare pressione sul governo USA perchè rispetti i diritti umani degli stranieri (europei e non solo). > quanto per le imprese UE cui teoricamente potrebbe esser inibito l’utilizzo di qualsivoglia servizio che comporti un trasferimento dei dati trattati verso US. E basta GMail o un qualsiasi servizio cloud (magari fornito da sp europeo, che utilizzi ridondanze extraUE tipo amazon ecc.ecc.) Già.. E non solo le imprese: anche la PA. Penso, per esempio, all'inavvertita scelta di molte università italiane che hanno migrato i servizi di posta per docenti, studenti e personale amministrativo a servizi offerti gratuitamente da Google. E al nostro Ministro dell'Istruzione che, avvertitone da più d'un anno, non ha neppure ritenuto di rispondere a un'interpellanza di Quintarelli http://aic.camera.it/aic/scheda.html?numero=4/05980&ramo=CAMERA&leg=17 Credo che, alla luce della sentenza Schrems, ci si possa aspettare che qualche professore e/o studente di quelle università si rivolgerà al Garante della Privacy per chiedere di verificare se l'adzione di servizi offerti da imprese USA che prevede il trasferimento dei dati extra-UE è conforme al diritto. m.c. > Se debbo dire, sono molto incerto nella valutazione della sentenza: afferma > principi importanti su di un punto cruciale, ovvero l’ingerenza dello Stato > per ragioni di sicurezza nazionale e law enforcement, che è però materia del tutto estranea alla Direttiva del 95 che regolava unicamente il mercato > (primo pilastro) e non giustizia e sicurezza. E questo è da sempre un vulnus anche per noi europei. E dunque non so dire se: > > i) sia la forzatura di una Corte che si rende conto di esser l’ultimo baluardo per reagire ad una situazione inaccettabile nella compressione dei diritti fondamentali sul web da parte degli Stati (Governi > UE inclusi: la condanna pare esplicita, non per Facebook ,ma alla sorveglianza da parte degli Stati, così che si parla a suocera perché moglie intenda); > > ii) se sia la scelta politica e miope di sferrare l’ennesimo attacco all’egemonia economica USA, dove i diritti fondamentali > sono la clava per tentare di recuperare forza contrattuale… (c’è il TTIP che vaga…ma non voglio far dietrologia). > > Insomma, non so dire. Leggiamo e vedremo > > C > > > > > > Da: nexa-bounces@server-nexa.polito.it [mailto:nexa-bounces@server-nexa.polito.it] Per conto di fabio chiusi Inviato: martedì 6 ottobre 2015 11:33 A: 'nexa' Oggetto: Re: [nexa] Decisione Corte di giustizia europea invalida Safe Harbor > > > > > > Ma ora che succede? Non ho ben capito le conseguenze (immediate e non) di questa decisione... > > f. > > > > > > > > > > Il Martedì 6 Ottobre 2015 10:45, Antonio Casilli > <antonio.casilli@telecom-paristech.fr> ha scritto: http://mobile.nytimes.com/2015/10/07/technology/european-union-us-data-col le> > > ction.html

_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa

-- Prof. Avv. Alessandro Mantelero Politecnico di Torino

Nexa Center for Internet and Society | Director of Privacy Politecnico di Torino–Tongji University| Coordinator, Double Degree program in Management and IP Law Nanjing University of Information Science and Technology | Part-time Expert, School of Public Administration

http://staff.polito.it/alessandro.mantelero @mantelero

EMAIL POLICY: twice a day (Mon-Fri) _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa

-- Guido

Dr. Guido Noto La Diega,

Postdoctoral Research Assistant in Cloud Computing Law - Queen Mary University of London

President of Ital-IoT - Centre of Multidisciplinary Research on the Internet of Things Avvocato (Commercial and IP/IT Lawyer) Cultore della materia in Civil Law and Intellectual Property - University of Palermo

67-69 Lincoln's Inn Fields London WC2A 3JB g.notoladiega@qmul.ac.uk

+44(0)2078823386

@gui_notoladiega

https://it.linkedin.com/pub/guido-noto-la-diega-ph-d/6/614/669

This e-mail and any attachment hereto are strictly confidential and are exclusively intended for the person above identified. Without intended recipient’s entitlement, use, copy and dissemination of this e-mail is prohibited. If you have received it in error, please advice us immediately by telephone and return the documents received to the above address, deleting the files. Thank you.

Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte Informationen. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestaettet. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Danke.

Il presente messaggio di posta elettronica ed ogni eventuale allegato contengono informazioni strettamente riservate e sono indirizzati esclusivamente al soggetto sopra indicato. In mancanza di autorizzazione del destinatario, ne sono vietati l’uso, la riproduzione e la divulgazione. Se avete ricevuto questo messaggio per errore, siete pregati di avvisarci immediatamente per telefono e di restituirci i documenti ricevuti all’indirizzo sopra indicato, distruggendo i file. Grazie.

BE ECO-FRIENDLY: Unless necessary, please do not print this e-mail