Un documento di servizio, una guida partica realizzata da Forrester. Gli autori rispondono a dieci domande poste dalle aziende con particolare attenzione al trasferimento dei dati da un paese all’altro.
1) Cos’è il G29?
Il G29 riunisce i garanti della privacy europei. Uno dei compiti principali è di determinare se un paese al di fuori della Ue offra un livello sufficiente di tutela rispetto agli standard attuali in Europa.
2) Quali sono i paesi che hanno un regolamento coerente con la prassi europea?
Alcuni paesi hanno una legislazione simile a ciò che viene seguito in Europa: Andorra, Argentina, Canada, Uruguay, Isole Faroe, Guernsey, Isola di Man, Jersey, Nuova Zelanda, Israele, Svizzera e in qualche misura gli Stati Uniti. Una società con una filiale in uno di questi paesi può facilmente trasferire i dati personali.
3) Che cosa è il Safe Harbor ?
Si tratta di un accordo tra gli Stati Uniti e l’Europa. Una società europea può trasferire i dati a una società statunitense se questa è certificata Safe Harbor a condizione di chiedere la prova della conformità con cadenza annuale o più regolarmente. Oppure è possibile scegliere un partner che implementa il Bcr (Binding corporate rules).
4) Che cos’è il Bcr?
Il Binding corporate rules (regole interne d’impresa) viene utilizzato per trasferire i dati personali al di fuori dell’Europa. Queste regole interne definiscono la politica aziendale in merito al trasferimento dei dati e devono essere approvati dalll’authority.
A differenza di clausole contrattuali tipo Safe Harbor, il Bcr non riguarda un particolare trasferimento. Una volta che l’organizzazione ha stabilito queste regole tutti i trasferimenti di dati interni tra paesi sono considerati legali. Le aziende che si affidano a fornitori esterni per la raccolta di dati personali hanno tutto l’interesse a cercare fornitori con Bcr.
5) Il Patriot Act si applica alle divisioni europee delle società statunitensi ?
In generale, sì. L’ organismo europeo di una società americana fornirà i dati sui propri data center negli Stati Uniti, se gli Stati Uniti lo chiederanno. L’alternativa è creare un’entità giuridica separata.
6) Che cosa è una clausola contrattuale tipo?
Le clausole contrattuali tipo sono usate per trasferire dati a un paese al di fuori dell’Unione europea che non fa parte dei dodici compatibili con le norme nazionali e servono come alternative alle aziende che non sono certificate Safe Harbor. La società deve accettare di essere controllata dalla società dalla quale provengono i dati personali. I dati devono essere utilizzati solo l’obiettivo per il quale sono stati trasferiti. Il proprietario dei dati deve poter correggere le informazioni o bloccarle quelle che lo contemplano. Le clausole contrattuali tipo sono però poco utilizzate dalle aziende perché giudicate troppo restrittive.
7) Quali sono le particolarità della normativa tedesca?La legge vigente in Germania è considerata una delle più restrittive al mondo. In Germania, per esempio, essere certificati Safe Harbor non è sufficiente tanto che vengono richieste ulteriori garanzie. La normativa considera anche gli indirizzi Ip come dati personali e nel 2011 l’authority locale ha bandito l’utilizzo di Google Analytics.
8) Che cosa ci aspetta con il prossimo regolamento europeo?
Nel gennaio 2012 , la Commissione ha proposto una riforma della direttiva del 1995. Finora gli Stati europei erano tenuti a recepire nel diritto locale la direttiva. Con il futuro regolamento ancora in discussione, nessuna trasposizione sarà necessaria. La normativa potrà essere applicata direttamente nei 28 paesi Ue nel 2016 e si applicherà sia alle società con sede in Europa sia a quelle fuori dal continente. Da qui l’ intensa attività di lobbying svolta da Facebook, Google e Microsoft.
9) Cosa dice la direttiva europea sui cookie?
Dal 2011, la direttiva Ue sui cookie stabilisce che tutti i siti web devono ottenere il consenso dell’utente prima di tracciarli con i cookie. I siti web possono visualizzare una finestra di dialogo che chieda il consenso esplicito. Si consiglia di essere trasparenti circa l’impiego dei cookie sul sito e consentire agli utenti di opporsi al loro utilizzo (anche retroattivamente) senza limitare loro l’accesso.
10) Qual è il punto di vista dell’Europa geolocalizzazione attraverso i telefoni cellulari ?
I dati sulla geolocalizzazione sono considerati dati personali, così come i nomi e gli indirizzi degli utenti di Internet .