Dopo che gli accordi Safe Harbor prima e Privacy Shield poi sono stati rovesciati legalmente, le relazioni contrattuali con trasferimenti di dati tra l'UE e gli USA si basano sulle cosiddette clausole contrattuali standard. Tuttavia, anche questi potrebbero essere rovesciati ad un certo punto.
L'abolizione dell'accordo Privacy Shield (vedi riquadro) ha portato molto slancio alla valutazione legale della cooperazione con i fornitori di cloud da paesi non UE, cioè principalmente gli Stati Uniti. "Noi di Gridscale lo abbiamo notato nella domanda delle nostre soluzioni, che ora sono certificate ISO-27001 e ISO-27018, ma anche nel numero di download di un documento di 24 pagine sull'argomento, che mettiamo a disposizione gratuitamente", riferisce Henrik Hasenkamp, CEO, Gridscale.
Il white paper "Rischi legali quando si usano fornitori internazionali di cloud" è stato preparato insieme allo studio legale "Heuking Kühn Lüer Wojtek" e si occupa dei problemi legali con i dati personali che possono sorgere qui, per esempio, con l'ufficio delle imposte, il consiglio di fabbrica, la legge AGB e altre aree. "Per capire i problemi, bisogna iniziare con l'accordo Safe Harbor, che è stato abolito nel 2015", spiega Hasenkamp. "I giudici della CGCE hanno presentato una lunga lista di carenze all'epoca e hanno deciso che l'accordo non poteva essere valido in questo contesto". Una delle critiche principali era che una persona colpita personalmente non ha un modo pratico per far valere i diritti che le spettano in relazione ai dati personali. Inoltre, il trasferimento di dati ai servizi di intelligence e alle autorità è considerato un problema.
L'UE è stata quindi costretta ad agire e ha tirato fuori dal cilindro il "Privacy Shield".
"È arrivato come doveva arrivare"
Hasenkamp descrive la sua prospettiva: "Tuttavia, era già chiaro al momento dell'introduzione che i punti centrali delle critiche riguardo all'applicabilità dei diritti non erano stati chiariti. "Ora è arrivato come doveva arrivare: dopo un nuovo esame, è stato determinato che le persone interessate personalmente dall'UE non possono praticamente far valere tali diritti nel sistema giudiziario statunitense e che i servizi segreti hanno ancora un accesso molto liberale ai dati, così che anche il Privacy Shield è stato rovesciato", dice il CEO di Gridscale. Un tribunale irlandese aveva precedentemente espresso dubbi sull'efficacia del Privacy Shield alla CGCE. La Corte di giustizia europea ha ora annullato questo accordo perché vede i diritti dei cittadini europei violati dalle misure adottate dalle autorità di sicurezza statunitensi. Questi hanno ampi poteri di accesso ai dati - compresi quelli dei cittadini dell'UE.
Le clausole contrattuali standard dell'UE
A partire da ora, la cooperazione con aziende che trattano dati personali all'estero, per esempio negli USA, può essere basata sulle clausole contrattuali standard dell'UE. In questo caso, nessun accordo intergovernativo come Safe Harbor o Privacy Shield dovrebbe quindi proteggere i diritti degli utenti, ma accordi tra partner contrattuali. Hasenkamp sottolinea un aspetto importante: "Dato che non abbiamo a che fare con un accordo intergovernativo, ma con relazioni contrattuali tra singole aziende, è molto più difficile dichiararle invalide"
Informazioni supplementari sull'argomento
Il nocciolo del trasferimento dei dati
La Corte di giustizia europea (CGCE) ha emesso la sua sentenza nel caso "Schrems II" (C-311/18) il 16 luglio: Il Privacy Shield, che finora regolava il trasferimento di dati tra l'UE e gli USA, non è più valido. Questo ha conseguenze di vasta portata. In primo luogo, la buona notizia per le aziende: Anche se la Corte di giustizia europea ha rovesciato l'accordo transatlantico sulla protezione dei dati, le contestate clausole contrattuali standard dell'UE, che servono come base legale per i trasferimenti di dati a tutti i paesi fuori dall'UE, rimangono valide. Questo è significativo per tutte le aziende che trasferiscono dati personali in paesi non europei - e quindi anche negli Stati Uniti. Perché senza le clausole contrattuali standard della Commissione europea, l'intero trasferimento globale di dati si sarebbe fermato. Tuttavia, il corso per il trasferimento dei dati dall'UE agli Stati Uniti è stato fissato di nuovo (ancora una volta), perché dopo Safe Harbor nel 2015, la Corte di giustizia europea ha anche dichiarato l'accordo successivo Privacy Shield non valido per lo scambio di dati transatlantico.
http://bit.ly/PrivacyShield-1
Il punto debole dei commissari per la protezione dei dati
Tuttavia, secondo Hasenkamp, le clausole contrattuali standard dell'UE sono in gioco anche a lungo termine: "Suppongo che prima o poi verranno denunciati i reclami sul trattamento dei dati personali e la questione della mancanza di applicabilità dei diritti relativi ai dati personali verrà di nuovo fuori attraverso l'istituzione dei commissari per la protezione dei dati. Le voci corrispondenti dei singoli commissari per la protezione dei dati possono già essere ascoltate". Gaia-X è destinato a promuovere una "nuvola europea", ma in parallelo si sta lavorando su accordi di follow-up con gli USA.