The Court of Justice invalidates Decision 2016/1250 on the adequacy of the protection provided by the EU-US Data Protection Shield
Che anno! :-D https://curia.europa.eu/jcms/jcms/p1_3117876/en/ Giacomo
In allegato la decisione per intero della Corte di Giustizia (versione inglese). Ilaria Il giorno gio 16 lug 2020 alle ore 10:11 Giacomo Tesio <giacomo@tesio.it> ha scritto:
Che anno! :-D
https://curia.europa.eu/jcms/jcms/p1_3117876/en/
Giacomo _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
Ilaria Buri <ilaria.buri@gmail.com> writes:
In allegato la decisione per intero della Corte di Giustizia (versione inglese).
Aggiungo il link alla versione HTML della sentenza: http://curia.europa.eu/juris/document/document.jsf?docid=228677&doclang=EN&&... Saluti, Giovanni. -- Giovanni Biscuolo
Il 16/07/20 11:17, Ilaria Buri ha scritto:
In allegato la decisione per intero della Corte di Giustizia (versione inglese).
Ilaria
La pagina di noyb.eu (che ha promosso la causa): https://noyb.eu/en/cjeu Traduco un estratto: "Le autorità di protezione dei dati hanno il "dovere di agire" - Un rafforzamento importante per il GDPR La Corte ha inoltre chiarito che le autorità di protezione dei dati dell'UE (DPA) hanno il dovere di intervenire. La Corte ha sottolineato che le autorità di protezione dei dati sono "tenute ad adempiere alla propria responsabilità di garantire che il GDPR sia pienamente applicato con la dovuta diligenza". Finora, molte autorità di protezione dei dati hanno ritenuto di avere una discrezione illimitata per guardare dall'altra parte. La Corte ha ora posto fine a questa pratica. Schrems: "La Corte non solo sta dicendo al DPC irlandese di fare il suo lavoro dopo sette anni di inazione, ma sta anche dicendo a tutte le DPA europee che hanno il dovere di agire e non possono guardare dall'altra parte. Si tratta di un cambiamento fondamentale che va ben oltre il trasferimento di dati UE-USA. Autorità come la DPC irlandese hanno finora minato il successo del GDPR semplicemente non trattando i reclami. La Corte ha detto chiaramente alle autorità di protezione dei dati di andare avanti e di far rispettare la legge". Gli SCC non possono più essere utilizzati da Facebook e dalle aziende statunitensi che ricadono sotto la sorveglianza degli Stati Uniti La Corte si è inoltre unita all'opinione del sig. Schrems secondo cui, in un primo tempo, le società dell'UE e i destinatari di dati non UE devono rivedere la legge del rispettivo paese terzo. Solo se non c'è una legge in conflitto, possono allora utilizzare le SCC. Come secondo livello di protezione, l'autorità competente per la protezione dei dati (DPA) deve utilizzare la "clausola di emergenza" integrata nelle SCC (articolo 4 della decisione sulle clausole contrattuali tipo). Nei casi in cui le leggi di sorveglianza statunitensi violano i principi di protezione dei dati dell'UE, le società non hanno preso provvedimenti. Il DPC ha combattuto questa idea dal 2016 con la falsa pretesa di non fare nulla di fronte alla sorveglianza di massa da parte di potenze straniere. In sintesi, ciò significa che Facebook non può più utilizzare le SCC per il trasferimento di dati UE-USA e se queste continuano a violare la legge, il DPC deve intervenire con urgenza - contrariamente ai primi annunci di alcuni dopo l'annuncio della sentenza. Schrems: "La sentenza chiarisce che le aziende non possono limitarsi a firmare le SCC, ma devono anche verificare se possono essere rispettate nella pratica. In casi come Facebook, in cui non intervengono, il DPC ha sempre avuto la soluzione del caso nelle sue mani. Avrebbe potuto ordinare a Facebook di fermare i trasferimenti anni fa. Nella nostra denuncia, abbiamo chiesto che emettesse un avviso di divieto con un periodo di attuazione ragionevole per consentire a Facebook di prendere tutte le misure necessarie. Invece, si è rivolta alla CGUE per invalidare le SCC, che sono valide. È come urlare chiedendo ai vigili del fuoco europei di intervenire, perché non si ha voglia di spegnere una candela da soli." rob
Caro Roberto, grazie per la segnalazione e la traduzione, Roberto Resoli <roberto@resolutions.it> writes: [...]
La pagina di noyb.eu (che ha promosso la causa):
Traduco un estratto: "Le autorità di protezione dei dati hanno il "dovere di agire" - Un rafforzamento importante per il GDPR
Mi permetto di aggiungere questo (scusa, non tradotto), che non mi pare sia secondario in merito all'efficacia del GDPR: --8<---------------cut here---------------start------------->8--- Users have to unite & extremely high costs The fact that this case has been ongoing for 7 years and the DPC alone has spent almost €3million to fight Mr. Schrems’ complaint instead, of taking decisive action to protect the rights of Europeans, also shows some fundamental flaws in the GDPR’s system of enforcement. It is currently impossible for a normal person to ensure that GDPR rights are not just an empty promise, but instead become a normal part of our digital lives. Schrems: “The DPC has invested € 2.9 Mio against us – and in essence lost. I don’t even want to know how many millions Facebook threw at this case. The financial fallout of this case will now be decided by the Irish Courts. Under EU law there must be a free and quick handling of a citizen’s complaint. However, in this case, we have been in the courts for 7 years with more than 45,000 pages of documents submitted. The myth that a law student can just do this on his own is unfortunately wrong.” --8<---------------cut here---------------end--------------->8--- Impossibile per una persona normale avere la sicurezza che il GDPR non sia solo una vuota promessa. Vedremo quali saranno le conseguenti azioni del DPC irlandese, nell'attuale quadro geopolitico di dumping fiscale e sociale intra EU [1], sentenza di ieri 90/2020 [2] e trattative sbilenche sul "recovery fund"... ma putacaso che il DPC irlandese dovesse decidere di non far nulla in merito, ciurlando nel manico per altri 7 anni?!? 2.9 milioni di EUR sono un INVESTIMENTO per il DPC irlandese e il governo di quel paese. [...] Io non voglio sminuire la portata di questa sentenza, anzi è senza dubbio di portata storica... ma tra il DIRE e il FARE [3]... :-O Saluti, Giovanni. [1] https://www.agcm.it/dotcmsdoc/relazioni-annuali/relazioneannuale2018/Present... --8<---------------cut here---------------start------------->8--- [...] Gli investimenti internazionali si adattano alla geografia della concorrenza fiscale: l’Italia attira investimenti esteri diretti pari al 19% del PIL; il Lussemburgo pari a oltre il 5.760%, l’Olanda al 535% e l’Irlanda al 311%. Valori così elevati non trovano spiegazione nei fondamentali economici di tali Paesi, ma sono in larga parte riconducibili alla presenza di società veicolo. [...] Uno studio commissionato dal Ministero delle Finanze olandese mostra che i soli flussi finanziari (dividendi, interessi e royalties) che attraversano le società di comodo olandesi ammontano a 199 miliardi di euro (il 27% del PIL del Paese) --8<---------------cut here---------------end--------------->8--- [2] https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200090en.... «The General Court of the European Union annuls the decision taken by the Commission regarding the Irish tax rulings in favour of Apple» [3] già a cavallo della fine del secolo scorso la vicenda ECHELON fece scalpore e furono scritti fiumi, anzi oceani di parole su come l'Unione Europea avrebbe dovuto attivamente agire "come un sol baluardo" contro le attività di sorveglianza globale... le cose dopo di allora sono anche PEGGIORATE. -- Giovanni Biscuolo
Il 16 luglio 2020 15:33:27 CEST, Giovanni Biscuolo <giovanni@biscuolo.net> ha scritto:
Caro Roberto,
grazie per la segnalazione e la traduzione,
Roberto Resoli <roberto@resolutions.it> writes:
[...]
La pagina di noyb.eu (che ha promosso la causa):
Traduco un estratto: "Le autorità di protezione dei dati hanno il "dovere di agire" - Un rafforzamento importante per il GDPR
Mi permetto di aggiungere questo (scusa, non tradotto), che non mi pare sia secondario in merito all'efficacia del GDPR:
Infatti, tutta la pagina é molto interessante, soprattutto per le considerazioni sulla responsabilità delle DPA in relazione all'uso (ed abuso) delle SCC. Ovviamente le prime reazioni di FB sono di tutt'altro segno, come riporta Riccardo Coluccini in questo bell'articolo: https://www.wired.it/internet/regole/2020/07/16/dati-personali-europa-usa/ "Eva Nagle, Associate General Counsel di Facebook, fa sapere: “Accogliamo con favore la decisione della Corte di giustizia dell’Unione europea di confermare la validità delle clausole contrattuali standard per il trasferimento di dati verso paesi non Ue. Queste clausole sono utilizzate da Facebook e da migliaia di aziende in Europa e forniscono importanti garanzie per proteggere i dati dei cittadini dell’Ue. Come molte aziende, stiamo valutando attentamente i risultati e le implicazioni della decisione della Corte di Giustizia in relazione all’uso del Privacy Shield e attendiamo con fiducia una guida normativa a questo proposito. Faremo in modo che i nostri inserzionisti, clienti e partner possano continuare a usufruire dei servizi di Facebook mantenendo i loro dati al sicuro”. Sugli effetti pratici della sentenza staremo a vedere, ma mi sembra inverosimile che la Commissione si affanni per provvedere con altre ciambelle di salvataggio stile Privacy Shield, a meno di non innescare conflitti istituzionali pesantissimi. Per quanto riguarda noyb, io sono un sostenitore della prima ora, e sono molto felice di vedere i risultati raggiunti. Raccomando a chi a cuore quel po' di libertà che ci rimane di unirsi a sostegno di Schrems & C, è verament uno dei pochi modi che abbiamo per farci sentire. rob
Il 17 luglio 2020 14:22:48 CEST, Roberto Resoli <roberto@resolutions.it> ha scritto:
Il 16 luglio 2020 15:33:27 CEST, Giovanni Biscuolo <giovanni@biscuolo.net> ha scritto:
Caro Roberto,
grazie per la segnalazione e la traduzione,
Roberto Resoli <roberto@resolutions.it> writes:
[...]
La pagina di noyb.eu (che ha promosso la causa):
Traduco un estratto: "Le autorità di protezione dei dati hanno il "dovere di agire" - Un rafforzamento importante per il GDPR
Mi permetto di aggiungere questo (scusa, non tradotto), che non mi pare sia secondario in merito all'efficacia del GDPR:
Infatti, tutta la pagina é molto interessante, soprattutto per le considerazioni sulla responsabilità delle DPA in relazione all'uso (ed abuso) delle SCC.
Ovviamente le prime reazioni di FB sono di tutt'altro segno, come riporta Riccardo Coluccini in questo bell'articolo:
https://www.wired.it/internet/regole/2020/07/16/dati-personali-europa-usa/
"Eva Nagle, Associate General Counsel di Facebook, fa sapere: “Accogliamo con favore la decisione della Corte di giustizia dell’Unione europea di confermare la validità delle clausole contrattuali standard per il trasferimento di dati verso paesi non Ue. Queste clausole sono utilizzate da Facebook e da migliaia di aziende in Europa e forniscono importanti garanzie per proteggere i dati dei cittadini dell’Ue. Come molte aziende, stiamo valutando attentamente i risultati e le implicazioni della decisione della Corte di Giustizia in relazione all’uso del Privacy Shield e attendiamo con fiducia una guida normativa a questo proposito. Faremo in modo che i nostri inserzionisti, clienti e partner possano continuare a usufruire dei servizi di Facebook mantenendo i loro dati al sicuro”.
Sugli effetti pratici della sentenza staremo a vedere, ma mi sembra inverosimile che la Commissione si affanni per provvedere con altre ciambelle di salvataggio stile Privacy Shield, a meno di non innescare conflitti istituzionali pesantissimi.
Per quanto riguarda noyb, io sono un sostenitore della prima ora, e sono molto felice di vedere i risultati raggiunti. Raccomando a chi a cuore quel po' di libertà che ci rimane di unirsi a sostegno di Schrems & C, è verament uno dei pochi modi che abbiamo per farci sentire.
Sul tema delle SCC, e ha smentire quanto affermato da Eva Nagle, sempre da noyb (segnalato da Bruno Saetta): https://noyb.eu/en/fact-check-facebook-can-no-longer-rely-scc rob
https://verfassungsblog.de/diabolical-persistence/#primary_menu_sandwich un mio tentativo di guardare al caso attraverso i vizi (non capitali) della perseveranza diabolica (della commissione) e dell'ambizione (della corte di giustizia ad essere finalmente una corte costituzionale). Get Outlook for Android<https://aka.ms/ghei36> ________________________________ From: nexa <nexa-bounces@server-nexa.polito.it> on behalf of Ilaria Buri <ilaria.buri@gmail.com> Sent: Thursday, July 16, 2020 11:17:51 AM To: Giacomo Tesio <giacomo@tesio.it> Cc: nexa@server-nexa.polito.it <nexa@server-nexa.polito.it> Subject: Re: [nexa] The Court of Justice invalidates Decision 2016/1250 on the adequacy of the protection provided by the EU-US Data Protection Shield In allegato la decisione per intero della Corte di Giustizia (versione inglese). Ilaria Il giorno gio 16 lug 2020 alle ore 10:11 Giacomo Tesio <giacomo@tesio.it<mailto:giacomo@tesio.it>> ha scritto: Che anno! :-D https://curia.europa.eu/jcms/jcms/p1_3117876/en/ Giacomo _______________________________________________ nexa mailing list nexa@server-nexa.polito.it<mailto:nexa@server-nexa.polito.it> https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
Giacomo Tesio <giacomo@tesio.it> writes:
Che anno! :-D
In attesa di aver tempo di leggere la sentenza, a caldo e alla luce di quanto successo con ECHELON, credo valga la pena sottolineare questo passaggio (evidenziazione mia): --8<---------------cut here---------------start------------->8--- La Corte procede infine all’esame della validità della decisione 2016/1250 [...] A tal proposito la Corte rileva che la suddetta decisione, al pari della decisione 2000/520, sancisce il primato delle esigenze attinenti alla sicurezza nazionale, all’interesse pubblico e al rispetto della **normativa statunitense**, rendendo così possibili ingerenze nei diritti fondamentali delle persone i cui dati sono trasferiti verso tale Paese terzo. Secondo la Corte, le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti [...] non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dal principio di proporzionalità, giacché i **programmi di sorveglianza** fondati sulla suddetta normativa non si limitano a quanto strettamente necessario. Fondandosi sulle constatazioni che compaiono in tale decisione, la Corte rileva che, per taluni programmi di sorveglianza, da detta regolamentazione non emerge in alcun modo l’esistenza di **limiti all’autorizzazione**, in essa contenuta, dell’attuazione di tali programmi e neppure l’esistenza di garanzie per gli stranieri che possono esserne potenzialmente oggetto. La Corte aggiunge che la stessa normativa, pur se prevede requisiti che devono essere rispettati dalle autorità statunitensi nell’attuare i programmi di sorveglianza considerati, non conferisce agli interessati diritti nei confronti delle autorità statunitensi azionabili dinanzi ai giudici. --8<---------------cut here---------------end--------------->8--- Cioè: i dati vengono trattati secondo la normativa statunitense che li impiega per programmmi di sorveglianza senza limiti all'autorizzazione da parte del cittadino straniero. Sono troppo tranchant? Decontestualizzo eccessivamente? :-) Domanda ai giuristi: è la prima volta che una corte di giustizia scrive nero su bianco che gli Stati Uniti adottano programmi di sorveglianza per proprie esigenze di sicurezza nazionale e interesse pubblico (economico [1]), anche nei confronti di cittadini (e imprese) stranieri? Grazie! Giovanni [1] dal rapporto 2001/2098 della commissione d'inchiesta su ECHELON https://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+REPORT+... sappiamo bene che gli interessi pubblici USA includono anche (soprattutto?) quelli di supremazia economica attraverso lo spionaggio indistriale. Leggere i paragrafi 10.3.4, 10.5.2 e 10.9 per credere :-O -- Giovanni Biscuolo
In data giovedì 16 luglio 2020 13:15:07 CEST, Giovanni Biscuolo ha scritto:
è la prima volta che una corte di giustizia scrive nero su bianco che gli Stati Uniti adottano programmi di sorveglianza per proprie esigenze di sicurezza nazionale e interesse pubblico (economico [1]), anche nei confronti di cittadini (e imprese) stranieri? No http://curia.europa.eu/juris/document/document.jsf? text=&docid=169195&pageIndex=0&doclang=IT&mode=lst&dir=&occ=first&part=1&cid=9823096 m.c.
participants (6)
-
Giacomo Tesio -
Giovanni Biscuolo -
Ilaria Buri -
Marco Ciurcina -
Oreste Pollicino -
Roberto Resoli