Trasferimento dati in USA: decaduta l’autorizzazione “Approdo sicuro”

CALTECH-UVIC-100GB-Data-Transfer-NetworkLe imprese dovranno mettere in campo altri strumenti per tutelare i dati delle persone

Il Garante per la privacy ha dichiarato decaduta l’autorizzazione emanata a suo tempo con la quale si consentivano i trasferimenti di dati verso gli Stati Uniti sulla base del cosiddetto accordo “Safe Harbor”. Per poter trasferire dati oltreoceano, società multinazionali, organizzazioni e imprese italiane dovranno di conseguenza ricorrere alle altre possibilità previste dalla normativa sulla protezione dei dati personali.

Il provvedimento (in corso di pubblicazione sulla Gazzetta ufficiale) è stato adottato dal Garante a seguito della recente sentenza della Corte di Giustizia dell’Unione Europea, che ha dichiarato invalido il regime introdotto in virtù dell’accordo “Approdo sicuro” (Safe Harbor), facendo venire meno il presupposto di legittimità per il trasferimento negli Usa di dati personali dei cittadini europei per chi utilizzava questo strumento. La decisione presa dal Garante è in linea con quanto concordato nelle settimane scorse nell’ambito del Gruppo che riunisce le Autorità della privacy dell’Ue.

Strumenti alternativi per il trasferimento

In attesa delle prossime decisioni che verranno assunte in sede europea, le imprese potranno dunque trasferire lecitamente i dati delle persone solo avvalendosi di strumenti quali, ad esempio:

L’Autorità si è comunque riservata di effettuare controlli per verificare la liceità e la correttezza del trasferimento dei dati da parte di chi esporta i dati.

Annunci

Call center extra Ue più trasparenti

9779804-dipendenti-che-lavorano-in-un-call-centerIl Garante avvia una ricognizione delle attività di customer care e telemarketing fuori Ue

Cresce il fenomeno dei call center delocalizzati in Paesi al di fuori dell’Unione europea e il Garante privacy interviene a tutela dei cittadini italiani.

Con un provvedimento a carattere generale [doc. web n. 2724806],  adottato al termine di una articolata istruttoria,  il Garante ha ribadito le regole alle quali devono attenersi società e enti pubblici, che si avvalgono per le loro attività di customer care o di telemarketing di call center situati in Paesi dove non sono assicurate le garanzie previste dalla normativa comunitaria.

Il nuovo provvedimento ricorda le regole generali da rispettare per i trasferimenti di dati:

  • autorizzazione del Garante,
  • adozione di regole di condotta infragruppo (le cosiddette “binding corporate rules“, Bcr),
  • sottoscrizione tra le parti delle clausole contrattuali tipo stabilite dalla Commissione europea o quelle già indicate in specifici ambiti di attività (ad.es. per il telemarketing).

Ma soprattutto introduce importanti novità.

  • i titolari del trattamento (società e enti pubblici) che utilizzano tali call center dovranno infatti integrare l’informativa resa al momento del contatto con l’utente specificando anche la nazione dalla quale chiamano o rispondono;
  • per le chiamate in entrata,  in analogia a quanto previsto dalla normativa in vigore, i call center dovranno adottare apposite procedure per dare all’utente la possibilità di scegliere un operatore collocato sul territorio nazionale (ad es. deviando la telefonata o disponendo un successivo contatto da parte di un operatore italiano);
  • d’ora in poi, inoltre, i titolari dal trattamento che intendono trasferire (o affidare) il trattamento di dati personali a un call center situato in Paesi extra Ue dovranno prima darne comunicazione al Garante, utilizzando un modello che sarà messo a disposizione sul sito dell’Autorità (www.garanteprivacy.it). 

I call center che già operano in Pesi extra Ue dovranno invece informare il Garante entro 30 giorni dalla pubblicazione del provvedimento nella Gazzetta ufficiale.

Ciò consentirà di acquisire elementi utili a comprendere l’ampiezza di un fenomeno in continua espansione e permetterà all’Autorità di valutare la portata del trasferimento dei dati personali al di fuori dall’Unione europea per i trattamenti operati dai call center, anche al fine di intervenire con tempestività ed efficacia in caso di violazioni del Codice privacy.

 

Imprese e trasferimento dei dati extra Unione Europea

 

Binding Corporate Rules (BCR) for Processors: più facile il ricorso a società extra UE che operano in outsourcing

shutterstock_62096497I Garanti per la privacy dei Paesi UE riuniti nel Gruppo “Articolo 29” hanno approvato una apposita procedura che consentirà la circolazione di dati personali all’interno di gruppi societari multinazionali che offrono ad altre aziende, con sede nell’Unione europea, servizi di trattamento dati in outsourcing.

La procedura prevede l’approvazione da parte delle Autorità garanti nazionali delle cosiddette “Norme d’impresa vincolanti” (Binding Corporate Rules, BCR) per “responsabili del trattamento” (“BCR for Processors”) e potrà essere utilizzata a partire da quest’anno.

 

BCR: cosa sono?

iStock_gears_people_cultureLe BCR sono regole di condotta relative al trattamento dei dati personali all’interno di un gruppo multinazionale che  consentono, una volta  approvate dalle Autorità nazionali, di trasferire dati personali fra le società del gruppo con sede in UE e quelle situate in Paesi terzi, nel rispetto delle garanzie fissate in base alla direttiva 95/46.

In questo caso la nuova procedura permetterà di  approvare BCR messe a punto da un’impresa multinazionale che sia nominata responsabile del trattamento per conto di titolari (clienti) stabiliti in un Paese dell’UE, sulla base di uno specifico contratto di servizi (generalmente indicato come “Service Agreement”). Tali imprese potranno adesso, se lo desiderano, fare approvare le proprie “BCR for Processors”.

Sulla base delle nuove BCR, dunque, un’azienda ad esempio stabilita in Italia che intenda far trattare in outsourcing  dati personali da una multinazionale con sedi o filiali extra-UE potrà essere garantita dal fatto che la multinazionale ha elaborato un sistema di “BCR for Processors” approvato dall’UE.

Il meccanismo di approvazione delle “nuove” BCR non si differenzia da quello esistente da vari anni, i cui requisiti sono illustrati dettagliatamente anche sul sito del Garante BCR – Binding Corporate Rules.

Anche nel caso delle “BCR for Processors” si prevede l’intervento di un’Autorità di protezione dati che fungerà da “capofila” nell’UE per il processo di valutazione e approvazione, cui farà seguito un meccanismo di mutuo riconoscimento (al quale partecipano molte autorità europee di protezione dati, fra cui il Garante); in alcuni casi (come in Italia) è comunque necessaria anche una specifica richiesta di autorizzazione nazionale.

 

La Procedura di approvazione delle BCR for Processors

application iconI documenti elaborati dal Gruppo “Articolo 29” al fine di accedere alla procedura di approvazione (WP195 e relativo “Application Form”) sono disponibili sul sito del Gruppo

 

 

Multinazionali e Flussi di Dati Personali extra Unione Europea

Binding Corporate Rules: la scelta delle più importanti Multinazionali per regolamentare i Personal Data Flows tra le proprie filiali europee e quelle stabilite in Paesi terzi.

L’approfondimento di questo Post riguarda la scelta già operata da Gruppi quali eBayGeneral Electric Company, Philips, Accenture Limited, Hyatt Hotel Corporation,  JPMorgan Chase &  Co, British Petroleum plc, Michelin, relativa alla propria Compliance  alla normativa europea che regolamenta il trattamento dei dati personali:

quale la più efficiente soluzione giuridica per regolarizzare i flussi di informazioni in partenza da una propria branch stabilita sul territorio europeo verso un’altra branch extra UE?

Bene, andiamo a fare chiarezza sul tema… Leggi tutto.