Civile.it
/internet
Osservatorio sul diritto e telecomunicazioni informatiche, a cura del dott. V. Spataro dal 1999, documenti.

Il dizionario e' stato letto volte.



Segui via: Email - Telegram
  Dal 1999   spieghiamo il diritto di internet  Store  Caffe20  Dizionario  App  Video Demo · Accesso · Iscrizioni    
             


Milano, 13 ott 2020
adv IusOnDemand

Scarica il Dizionario:



  


Privacy 16.07.2020    Pdf    Appunta    Letti    Post successivo  

Privacy: nulli gli accordi con gli USA, vince la verità e torniamo alla pietra

Epocale, pochi possono intuire le conseguenze su sistemi operativi, smartphone, tablet e iot.

Tutto sul caso a questo link.

Qui le reazioni su twitter


Valentino Spataro

Download or Play, List or RSS:

 

L

^ La commissione europea ci ha tradito una volta con il safe harbour e una seconda con lo shield, due accordi che hanno permesso agli USA di raccogliere i nostri dati e alle aziende europee di sprofondare negli adempimenti privacy sotto il ricatto dei terroristi della privacy.

Si'. Attacco dagli USA e dai consulenti e interpreti terroristi della privacy, per i quali qualsiasi violazione e' grave.

Questo ha fermato il mercato europeo, mentre quello USA ha sgominato chiunque.

Basti considerare quanti, per certe attività, sono andati direttamente negli USA a fondare le aziende.

^ Ora la corte Europea dice, su domanda presentata da un geniale hacker tedesco, studente di giurisprudenza, ora avvocato, che l'accordo non vale.

Tutti diranno perche'. Nell'audio racconto l'intera storia che parte da Echelon, passa da Snowden, e lascerà tracce anche ai nostri figli.

^ Le conseguenze ?

^ Se usiamo Windows, Android, Google, Amazon, Apple, Dropbox, Linkedin, Facebook, Instagram e' tutto solo colpa nostra se succede qualcosa.

Salvo che qualcuno si ricordi che il GDPR parla anche di contesto e di costi, un elemento dimenticato dai terroristi della privacy che ricorda che la privacy si fa non in teoria sui rischi possibili, ma sulle soluzioni pratiche e possibili.

Il nuovo collegio non inizia con facilità. Vedremo

---

No 91/2020 : 16 July 2020
Approximation of laws
The Court of Justice invalidates Decision 2016/1250 on the adequacy of the protection provided by the EU-US Data Protection Shield

La Corte dichiara invalida la decisione 2016/1250 della Commissione
sull'adeguatezza della protezione offerta dal regime dello scudo UE-USA per la
privacy
Essa giudica, invece, valida la decisione 2010/87 relativa alle clausole contrattuali tipo per il
trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi
Ai sensi del regolamento generale sulla protezione dei dati (in appresso “RGDP”) 1 il trasferimento
dei suddetti dati verso un Paese terzo può avvenire, in linea di principio, solo se il Paese terzo
considerato garantisce a tali dati un adeguato livello di protezione. Secondo tale regolamento, la
Commissione può constatare che, grazie alla sua legislazione nazionale o ad impegni
internazionali, un Paese terzo assicura un livello di protezione adeguato 2 . In mancanza di una
decisione di adeguatezza siffatta, un trasferimento del genere può essere effettuato solo se
l’esportatore dei dati personali, stabilito nell’Unione, prevede garanzie adeguate, le quali possono
risultare, in particolare, da clausole tipo di protezione dei dati adottate dalla Commissione, e se gli
interessati dispongono di diritti azionabili e di mezzi di ricorso effettivi 3 . Il RGDP stabilisce
precisamente, inoltre, a quali condizioni può avvenire un trasferimento siffatto in mancanza di una
decisione di adeguatezza o di garanzie adeguate 4 .
Il sig. Maximillian Schrems, cittadino austriaco residente in Austria, è iscritto alla rete sociale
Facebook dal 2008. Al pari di quanto avviene per gli altri utenti residenti dell’Unione, i dati
personali del sig. Schrems sono trasferiti, in tutto o in parte, da Facebook Ireland verso server
appartenenti a Facebook Inc., situati nel territorio degli Stati Uniti, ove sono oggetto di trattamento.
Il sig. Schrems ha presentato all’autorità irlandese di controllo una denuncia diretta, in sostanza, a
far vietare tali trasferimenti, sostenendo che il diritto e le prassi degli Stati Uniti non assicurano una
protezione sufficiente contro l’accesso, da parte delle pubbliche autorità, ai dati trasferiti verso tale
paese. Tale denuncia è stata respinta, in particolare, sulla base del rilievo che nella sua decisione
2000/520 5 (cosiddetta decisione «approdo sicuro»), la Commissione aveva constatato che gli Stati
Uniti garantiscono un livello adeguato di protezione. Con sentenza pronunciata il 6 ottobre 2015 la
Corte, investita di una questione pregiudiziale sottopostale dalla High Court (Alta Corte, Irlanda),
ha dichiarato invalida tale decisione (in prosieguo la «sentenza Schrems I») 6 .
A seguito della sentenza Schrems I e del successivo annullamento, ad opera del giudice irlandese,
della decisione di rigetto della denuncia del sig. Schrems, l’autorità di controllo irlandese ha invitato
quest’ultimo a riformulare la sua denuncia tenendo conto della dichiarazione di invalidità, da parte
della Corte, della decisione 2000/520. Nella sua denuncia riformulata il sig. Schrems sostiene che

gli Stati Uniti non offrono una protezione sufficiente per i dati trasferiti verso tale paese. Egli chiede
di sospendere o vietare, per il futuro, i trasferimenti dei suoi dati personali dall’Unione verso gli
Stati Uniti, che Facebook Ireland effettua oramai sul fondamento delle clausole tipo di protezione
contenute nell’allegato della decisione 2010/87 7 . Considerando che il trattamento della denuncia
del sig. Schrems dipenda, in particolare, dalla validità della decisione 2010/87, l’autorità di controllo
irlandese ha avviato un procedimento dinanzi alla High Court affinché quest’ultima presentasse
alla Corte una domanda di pronuncia pregiudiziale. Successivamente all’avvio di detto
procedimento la Commissione ha adottato la decisione (UE) 2016/1250 sull'adeguatezza della
protezione offerta dal regime dello scudo UE-USA per la privacy 8 .
Con la sua domanda di pronuncia pregiudiziale, il giudice del rinvio interroga la Corte
sull’applicabilità del RGDP a trasferimenti di dati personali fondati su clausole tipo di protezione
contenute nella decisione 2010/87, sul livello di protezione richiesto da tale regolamento nel
quadro di un trasferimento siffatto e sugli obblighi che incombono alle autorità di controllo in tale
contesto. La High Court solleva inoltre la questione della validità tanto della decisione 2010/87
quanto della decisione 2016/1250.
Con la sua sentenza odierna, la Corte constata che, dall’esame della decisione 2010/87 alla
luce della Carta dei diritti fondamentali (in appresso “la Carta”), non è emerso alcun
elemento idoneo ad inficiarne la validità. Essa dichiara, invece, invalida la decisione
2016/1250.
La Corte considera, anzitutto, che il diritto dell’Unione, e segnatamente il RGDP, si applica ad un
trasferimento di dati personali effettuato a fini commerciali da un operatore economico stabilito in
uno Stato membro verso un operatore economico stabilito in un Paese terzo anche se, durante o
dopo detto trasferimento, tali dati possono essere soggetti a trattamento a fini di sicurezza
pubblica, di difesa e di sicurezza dello Stato ad opera delle autorità del Paese terzo considerato.
La Corte precisa che tale tipo di trattamento di dati ad opera delle autorità di un Paese terzo non
può escludere un trasferimento siffatto dall’ambito di applicazione del regolamento RGPD.
Per quanto riguarda il livello di protezione richiesto nell’ambito di un trasferimento siffatto, la Corte
dichiara che i requisiti previsti a tal fine dalle disposizioni del regolamento, attinenti a garanzie
adeguate, diritti opponibili e mezzi di ricorso effettivi, devono essere interpretati nel senso che le
persone i cui dati personali sono trasferiti verso un Paese terzo sulla base di clausole tipo di
protezione dei dati devono godere di un livello di protezione sostanzialmente equivalente a
quello garantito all’interno dell’Unione da detto regolamento, letto alla luce della Carta. In
tale contesto essa precisa che la valutazione del suddetto livello di protezione deve prendere
in considerazione tanto ciò che è stipulato contrattualmente tra l’esportatore dei dati
stabilito nell’Unione e il destinatario del trasferimento stabilito nel Paese terzo considerato
quanto, per quel che riguarda un eventuale accesso da parte delle pubbliche autorità di tale
Paese terzo ai dati così trasferiti, gli elementi pertinenti del sistema giuridico di
quest’ultimo.
Relativamente agli obblighi che incombono alle autorità di controllo nel contesto di un trasferimento
siffatto, la Corte dichiara che, salvo che esista una decisione di adeguatezza validamente adottata
dalla Commissione, tali autorità sono segnatamente tenute a sospendere o vietare un
trasferimento di dati personali verso un Paese terzo quando ritengano, alla luce delle
circostanze proprie di tale trasferimento, che le clausole tipo di protezione dei dati non siano o non
possano essere rispettate in tale Paese e che la protezione dei dati trasferiti, richiesta dal
diritto dell’Unione, non possa essere garantita con altri mezzi, ove l’esportatore stabilito
nell’Unione non abbia esso stesso sospeso tale trasferimento o messo fine a quest’ultimo.

La Corte esamina poi la validità della decisione 2010/87. Secondo la Corte, la validità di tale
decisione non è rimessa in discussione dal solo fatto che le clausole tipo di protezione dei dati
contenute in quest’ultima, per il loro carattere contrattuale, non vincolano le autorità del Paese
terzo verso il quale potrebbe essere effettuato un trasferimento di dati. Per contro, la Corte precisa
che tale validità dipende dalla questione se la suddetta decisione contenga meccanismi efficaci
che consentano, in pratica, di garantire che sia rispettato il livello di protezione richiesto dal
diritto dell’Unione e che i trasferimenti di dati personali, fondati su tali clausole, siano
sospesi o vietati in caso di violazione di tali clausole o di impossibilità di rispettarle. La
Corte constata che la decisione 2010/87 instaura meccanismi di questo tipo e, a tal riguardo,
sottolinea, in particolare, che tale decisione stabilisce un obbligo per l’esportatore dei dati e il
destinatario del trasferimento di verificare, preliminarmente, che tale livello di protezione sia
rispettato nel Paese terzo considerato, e inoltre che la decisione impone al suddetto destinatario di
informare l’esportatore dei dati della sua eventuale impossibilità di conformarsi alle clausole tipo di
protezione, con l’onere, in tal caso, per quest’ultimo di sospendere il trasferimento di dati e/o di
risolvere il contratto concluso con il primo.
La Corte procede infine all’esame della validità della decisione 2016/1250 rispetto ai requisiti
risultanti dal RGDP, letto alla luce delle disposizioni della Carta che garantiscono il rispetto della
vita privata e familiare, la protezione dei dati personali e diritto ad una tutela giurisdizionale
effettiva. A tal proposito la Corte rileva che la suddetta decisione, al pari della decisione 2000/520,
sancisce il primato delle esigenze attinenti alla sicurezza nazionale, all’interesse pubblico e al
rispetto della normativa statunitense, rendendo così possibili ingerenze nei diritti fondamentali delle
persone i cui dati sono trasferiti verso tale Paese terzo. Secondo la Corte, le limitazioni della
protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in
materia di accesso e di utilizzo, da parte delle autorità statunitensi, di siffatti dati trasferiti
dall’Unione verso tale Paese terzo, e che sono state valutate dalla Commissione nella decisione
2016/1250, non sono inquadrate in modo da rispondere a requisiti sostanzialmente
equivalenti a quelli richiesti, nel diritto dell’Unione, dal principio di proporzionalità, giacché
i programmi di sorveglianza fondati sulla suddetta normativa non si limitano a quanto
strettamente necessario. Fondandosi sulle constatazioni che compaiono in tale decisione, la
Corte rileva che, per taluni programmi di sorveglianza, da detta regolamentazione non emerge in
alcun modo l’esistenza di limiti all’autorizzazione, in essa contenuta, dell’attuazione di tali
programmi e neppure l’esistenza di garanzie per gli stranieri che possono esserne potenzialmente
oggetto. La Corte aggiunge che la stessa normativa, pur se prevede requisiti che devono essere
rispettati dalle autorità statunitensi nell’attuare i programmi di sorveglianza considerati, non
conferisce agli interessati diritti nei confronti delle autorità statunitensi azionabili dinanzi ai giudici.
Quanto al requisito della tutela giurisdizionale, la Corte ritiene che, contrariamente a quanto
considerato dalla Commissione nella decisione 2016/1250, il meccanismo di mediazione previsto
da tale decisione non fornisce a tali persone un mezzo di ricorso dinanzi ad un organo che
offra garanzie sostanzialmente equivalenti a quelle richieste nel diritto dell’Unione, tali da
assicurare tanto l’indipendenza del Mediatore previsto da tale meccanismo quanto
l’esistenza di norme che consentano al suddetto Mediatore di adottare decisioni vincolanti
nei confronti dei servizi di intelligence statunitensi. Per tutte queste ragioni la Corte
dichiara invalida la decisione 2016/1250.

16.07.2020 Valentino Spataro



Domanda: la liberatoria per i ritratti deve essere limitata nel tempo per la privacy ?
Badge e QR code per entrare a scuola e Privacy, aspetti e soluzioni
Privacy: non ogni violazione e' danno o risarcibile, ordinanza della Cassazione 17383
Raccolta e analisi documentale delle condizioni privacy nelle scuole di ogni grado.
Privacy: sanzione per il redirect di email aziendale 10 mesi dopo la fine del rapporto di lavoro
EDPB: updated guidelines on Controller, Processor, Social Media
Privacy: Immuni e clausole privacy illegali su cloud Dropbox Apple e Google; EDPB su Controller e Processor chiede il feedback
Privacy: Edpb pubblica le linee guida su processors e controllers nei social network e crea una task force per Scherms II
ZTA Zero Trust Architecture
Immuni: l'autorità olandese vuole vedere chiaro cosa fanno Google e Apple



Segui le novità in materia di Privacy su Civile.it via Telegram
oppure via email: (gratis Info privacy)


Dossier:



dallo store:
visita lo store






Le basi operative del GDPR
Valutazione: 4.55 su 5
adv IusOnDemand




Dal 1999 il diritto di internet. I testi sono degli autori e di IusOnDemand srl p.iva 04446030969 - diritti riservati - Privacy - Cookie - Condizioni d'uso - in 0.027