A me pare più che altro una dichiarazione politica o forse un tentativo di placare certe interpretazioni delle autorità garanti (v. Schleswig-Holstein, per altro un parere molto interessante). Di fatto, in linea con la sentenza ECJ, la Commissione non può che riconoscere l'autonomia delle autorità nel valutare le situazioni concrete, e lo ribadisce più volte. Sul ricorso a Standard Contractual Clauses e Binding Corporate Rules, questo passaggio mi pare significativo: "in the absence of a Commission finding of adequacy, the responsibility is on controllers to ensure that their data transfers take place with sufficient safeguards in accordance with Article 26(2) of the Directive. This assessment needs to be carried out in the light of all the circumstances surrounding the transfer at issue. In particular, both the SCCs and BCRs provide that if the data importer has reasons to believe that the legislation applicable in the recipient country may prevent it from fulfilling its obligations, it shall promptly inform the data exporter in the EU. In such a situation, it is up to the exporter to consider taking the appropriate measures necessary to ensure the protection of personal data. These may range from technical, organisational, business-model related or legal or measures to the possibility to suspend the data transfer or to terminate the contract. Taking into account all the circumstances of the transfer, data exporters may thus have to put in place additional safeguards to complement those afforded under the applicable legal basis for transfer to meet the requirements of Article 26(2) of the Directive". E qui si ritorna dunque al principio, ovvero agli effetti che si possono trarre dalla decisione della ECJ sull'impiego delle SSCs e BCR in stati ove vi siano norme imperative che impediscono di offrire completa tutela adeguata in via contrattuale. Quale futuro? I tempi indicati dalla Commissione per un nuovo accordo sono molto simili a quelli del "periodo di grazia" concesso dai garanti. Ragionevole attendersi quindi che il fronte US-EU si normalizzi. Nel mentre, poche imprese troveranno conveniente adottare SScs o BCR, salvo in un'ottica di strategia di lungo periodo. Ma per il resto del mondo? A seguire un'interpretazione rigorosa della sentenza dell'ECJ non sarà così agevole parlare di adeguatezza per molti Paesi di destinazione di processi di outsourcing informatico. Forse verranno riviste le SSCs. In proposito si potrebbe pensare ad un meccanismo più morbido, basato su un'adeguata e completa informazione dell'importatore di dati (chi li tratta nel Paese extra EU) in favore dell'esportatore europeo. Informativa sui rischi e possibili accessi ai dati derivanti da norme imperative locali. Sarebbe una soluzione migliore di quella attuale, in cui adottate le SSCs non mi pare ci si curi di altro, come se sempre l'accordo delle parti potesse prevalere su tutto. Vero che la Commissione, nel passaggio citato sopra, pare andare in senso contrario ed esortare a "taking the appropriate measures necessary to ensure the protection of personal data. These may range from technical, organisational, business-model related or legal or measures to the possibility to suspend the data transfer or to terminate the contract. Taking into account all the circumstances of the transfer, data exporters may thus have to put in place additional safeguards to complement those afforded under the applicable legal basis for transfer to meet the requirements of Article 26(2) of the Directive", tuttavia mi pare la solita interpretazione di chi legge le norme nel chiuso della propria stanza. Cosa può fare un'impresa contro uno stato che pretende di far valere le proprie leggi sul proprio suolo? Certo può ricorre in giudizio o ricorrere a sistemi tecnici di protezione dati (cifratura etc.), ma cambiamenti di technical, organisational e business-model possono avere un costo elevato e, sul fronte giudiziario, non tutte le imprese sono del calibro di MS o Google, da potersi permettere posizioni di contrasto con il potere politico (ove lo ritengano utile). Quindi o ci accontentiamo di una buona informativa sui rischi (magari accompagnata da garanzie specifiche sul fronte del risarcimento dei potenziali pregiudizi), o facciamo finta che SSCs e BCR funzionino anche dove non funzionano (stato attuale), oppure blocchiamo i flussi (ipotesi irrealistica per ovvie ragioni economiche). Da qui la mia preferenza per la prima opzione, seppur non in linea con l'idea di adeguatezza (o con la sua mitizzazione). AM -- Alessandro Mantelero Politecnico di Torino Nexa Center for Internet and Society | Director of Privacy http://staff.polito.it/alessandro.mantelero @mantelero On Fri, 6 Nov 2015 19:55:25 +0100 "J.C. DE MARTIN" <demartin@polito.it> wrote:

http://europa.eu/rapid/press-release_IP-15-6015_en.htm

(Sent from my wireless device; please excuse brevity and typos (if any)) _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa