In base alla legge austriaca sulla protezione dei dati (Datenschutzgesetz – DSG) il trasferimento di dati personali all’interno dell’UE è consentito. Tuttavia, il trasferimento di dati personali al di fuori dell’UE è soggetto all’approvazione da parte dell’autorità austriaca per la tutela dei dati (Datenschutzbehörde – DSB). L’approvazione viene concessa solo se viene garantito che il trasferimento dei dati non lede il diritto fondamentale alla protezione dei dati personali. Tuttavia, ci sono alcune eccezioni per le quali non è richiesta l’approvazione da parte della DSB. Una di queste eccezioni è / era basata sulla cosiddetta “decisione Safe Harbor” (Porto sicuro) da parte della Commissione Europea, la quale prevedeva che la normativa UE concernente la protezione dei dati viene rispettata se le aziende statunitensi si registrano come “Safe Harbor” presso la Federal Trade Commission degli Stati Uniti.

“Safe Harbor” non valido – aziende austriache affrontano sanzioni amministrative

La Corte di giustizia dell’Unione Europea (CGUE) il 6 ottobre 2015 ha dichiarato non valida la “decisione Safe Harbor” (vedi testo decisione).

Le conseguenze per le imprese austriache derivanti dalla succitata decisione sono enormi: l’eliminazione del “principio Safe Harbor” comporta per esempio che i trasferimenti di dati personali da parte di aziende austriache negli Stati Uniti finora basati sul “principio Safe Harbor” a partire da adesso devono considerarsi illegali.

Data l’invalidità del “Safe Harbor” ora è necessaria l’approvazione da parte della DSB. Un trasferimento di dati verso gli Stati Uniti senza approvazione sarà illegale. Tuttavia, questo non produrrà (direttamente) effetti nei confronti della direzione del gruppo negli Stati Uniti o nei confronti dei prestatori di servizi statunitensi, ma produrrà effetti nei confronti delle (controllate) società austriache ovvero nei confronti del cliente austriaco del fornitore di servizi statunitense. Questi ultimi infatti potrebbero affrontare sanzioni amministrative fino ad EUR 10.000 (per caso).

Nessun “hot fix” e “soluzioni alternative” insoddisfacenti

Un “hot fix” per continuare ad esportare dati personali negli Stati uniti non esiste. Pertanto, il trasferimento di dati verso gli Stati Uniti deve cessare immediatamente.

Poiché il “Safe Harbor” non esiste più, deve essere messa in atto un’altra giustificazione per trasferimenti extra-EU di dati. Possibili soluzioni sono (i) garanzie contrattuali da parte di imprese statunitensi o (ii) l’ottenimento del consenso esplicito e informato di tutte le persone interessate, i cui dati vengono trasferiti.

Nel contesto di (ii) vale la pena ricordare che, anche se il consenso esplicito e informato può essere ottenuto, questo non è un modo sicuro per il trasferimento di dati, giacché tale consenso deve essere revocabile in qualsiasi momento.

Pertanto, la “soluzione” (i) dal punto di vista legale sarebbe più sicura. Eventuali garanzie da parte di società statunitensi si potrebbero ottenere sia attraverso le cosiddette “clausole contrattuali tipo”, sia attraverso “regole aziendali vincolanti”. Tuttavia, anche se tali garanzie potrebbero essere ottenute, e già questo in base alla nostra esperienza potrebbe durare non poco tempo, la procedura di approvazione da parte del DSB sarà ancora necessaria. Solo se dopo il procedimento piuttosto lungo si ottenesse l’approvazione da parte della DSB, le imprese austriache sarebbero autorizzate a trasferire dati personali al loro quartier generale negli Stati Uniti o sarebbero autorizzate ad utilizzare servizi basati negli Stati Uniti e che conservano dati personali degli utenti negli Stati Uniti.

“Soluzioni alternative” probabilmente non soddisfacenti – sarebbero: (a) se non avvenisse nessun trasferimento di dati personali verso gli Stati Uniti né un accesso dagli Stati Uniti, in modo tale che in realtà i servizi fossero forniti esclusivamente all’interno dell’UE, o (b) se solo dati personali indiretti “(quasi) anonimi” venissero trasferiti negli Stati Uniti.