La principale differenza fra la normativa UE e quella USA è chiaramente spiegata dal dipartimento per il commercio con l’estero del governo USA a questa pagina.
| Unione Europea | U.S.A. |
| Tutela dei dati personali affidata ad una normativa di base molto dettagliata (le singole direttive CE/UE) che prevede la creazione di specifiche agenzie nazionali per la disciplina e la vigilanza del trattamento dei dati personali. | Disciplina del trattamento dati personali molto settoriale e pesantemente basata su normative ad hoc, regolamenti e codici disciplinari di settore. Quadro normativo non omogeneo e disarticolato. |
Il Dipartimento USA per il commercio estero ha avvertito la necessità di dialogare con le autorità europee poiché una disciplina sovranazionale come quella europea, in grado di attuare politiche di regolamentazione e controllo progressivamente più “forti”, avrebbe costituito un grosso rischio per quelle aziende americane che sono solite operare anche nel territorio europeo. Dal dialogo fra le due parti è scaturito un accordo definito “US-EU Safe Harbor Program“, il quale consente alle aziende USA di poter continuare nell’Unione Europea purché dichiarino di accettare una breve serie di obblighi circa la tutela dei dati dei cittadini europei, affinché garantiscano il criterio di “adeguatezza della tutela” previsto dalla Commissione Europea per gli stati membri.
L’accordo prevede quanto segue, infatti:
- Tutti i 28 stati membri dell’UE dovranno rispettare il criterio di “adeguatezza” (dei metodi per la tutela dei dati personali) imposto dalla Commissione Europea – quindi anche la creazione di autorità garanti come la nostra;
- Le aziende partecipanti (al programma) saranno automaticamente ritenute “adeguate” alla tutela della privacy;
- Per il trasferimento di dati dagli Stati Membri si rinuncerà a chiedere l’approvazione preventiva o essa verrà automaticamente garantita;
- I reclami promossi dai cittadini UE contro le aziende USA saranno esaminati direttamente negli USA;
- I requisiti per la partecipazione saranno ridotti al minimo per non precludere la partecipazione a piccole e medie imprese USA.
Si tratta, perciò, di un accordo senza il quale oggi non potremmo utilizzare prodotti e servizi provenienti dagli Stati Uniti. Il sito del Dipartimento fornisce anche una lista (con motore di ricerca) che permette immediatamente di sapere le aziende aderenti al programma “US-EU Safe Harbor”. Ammetto che non è stata poca la sorpresa quando ho scoperto che Dropbox, l’arcinoto servizio di cloud storage che moltissimi usano per il lavoro quotidiano (come me e tanti altri Colleghi), ha aderito solo poco tempo fa. Fino alla data indicata quale “Certificazione Originaria”, abbiamo usato Dropbox illegalmente per memorizzare i dati sensibili dei nostri clienti.
E Google? Google aderisce e lo fa (come sempre) a modo suo, in quanto specifica quali parti del proprio impero sono soggette al programma sotto l’egida di Google e quali invece aderiscono indipendentemente.
Naturalmente altri servizi non sono stabiliti negli USA ma in altre parti del mondo. Mega, per esempio, già dall’indirizzo ti fa capire che ha sede in Nuova Zelanda e, perciò, se decidi di affidarti al suo servizio di cloud storage lo fai esclusivamente a tuo rischio e pericolo, poiché:
- al momento non esistono accordi fra UE e Nuova Zelanda in materia di tutela dei dati personali;
- un cittadino italiano non può invocare nei loro confronti l’applicazione del Codice della Privacy nostrano;
- bisogna leggere attentamente la privacy policy di Mega per capire cosa ne fa dei dati personali;
- Mega, discendente di Megavideo e Megaupload, è spesso al centro di vicende giudiziarie e sul filo della chiusura: non di rado è inaccessibile dall’Italia o da altri paesi perché qualcuno lo usa per conservare materiale “pirata”.
Perché è importante verificare se il servizio in cloud extracomunitario sia vincolato alle Direttive UE sulla privacy?
Lo è perché chi tratta i dati personali dei propri clienti si ritrova a giocare un doppio ruolo: nei confronti del cliente è colui che viene identificato come “responsabile del trattamento dei dati” e deve fornire opportune informazioni sulle garanzie per la conservazione e la manutenzione dei dati comunicati; dall’alta parte, invece, egli è colui che trasmette – perché autorizzato – dati personali altrui ad un soggetto (il servizio cloud) esterno che effettuerà, a sua volta, un ulteriore trattamento dei dati comunicati. Ovviamente, io-avvocato che salvo il mio lavoro su un servizio cloud nel chiuso del mio studio mi trasformo nel cliente di Dropbox/Google Drive/SpiderOak e simili, quindi, in virtù dell’altro mio ruolo di garante per i dati del cliente, devo verificare che detti servizi osservino le medesime regole cui io stesso sono sottoposto in materia di tutela dei dati personali. Naturalmente, se scegliessi un servizio extracomunitario non vincolato da specifici accordi con l’Unione Europea, ricadrebbe solo ed esclusivamente sulla mia persona l’intera responsabilità per l’eventuale diffusione illecita, distruzione, abuso o manomissione dei dati del mio cliente. Tutto ciò con conseguenze facilmente immaginabili.
