Privacy dei dati tra Europa e Stati Uniti: avvertenze per il business travel

La privacy dei dati tra Europa e Stati Uniti torna in aula. Con una decisione storica, la Corte di giustizia europea (Cgue) annulla la decisione 2016/1250 sull’adeguatezza della tutela fornita dallo scudo di protezione dei dati UE-Usa, il cosiddetto “Privacy Shield”. L’accordo sul trasferimento transatlantico dei dati «non è in linea con il Gdpr e non protegge dall’invasività programmi americani», spiega la Cgue. E’ noto, ad esempio, che le leggi statunitensi consentono la sorveglianza delle informazioni di massa da parte delle autorità.

Perché deve interessare il business travel?

Lo mette in evidenza Vdr, associazione tedesca della filiera dei viaggi d’affari.

Spiega: «Il problema è urgente perché il settore è dominato da società con sede negli Stati Uniti». Ecco che Vdr invita i travel manager europei ad interessarsi al caso, dopo che la Corte europea ha invalidato i processi di trasferimento dei dati personali negli Stati Uniti.

Spiega Hans-Ingo Biehl, direttore esecutivo di Vdr: «I responsabili dei viaggi aziendali dovrebbero constatare che i dati di prenotazione dei passeggeri finiranno negli Stati Uniti in maniera sicura».

La sentenza (leggila qui) è stata emessa il 16 luglio e chiarisce che non sussistono periodi di tolleranza per la cessazione del Privacy Shield.

Scrive Vdr ai suoi membri: «Il trasferimento dei dati deve essere immediatamente interrotto. Devono essere esaminate le alternative su come la loro gestione può essere modificata».

Privacy dei dati tra Europa e Stati Uniti, i contratti con le TMC

La stessa decisione della Corte impone, inoltre, ai responsabili del trattamento dei dati, quindi anche ai travel manager in azienda, di rivedere le clausole contrattuali standard. Esse rappresentano la soluzione più comune utilizzata nel business travel per proteggere le esportazioni di dati al di fuori dell’UE.

Da Vdr viene la raccomandazione: «Se non sei certo che i dati siano sicuri utilizzando gli Scc, non trasferirli più», afferma Biehl. E ha invitato i travel manager a tenere consultazioni urgenti con le loro Tmc e i fornitori di strumenti di prenotazione online.

Le Scc (standard contractual clauses), in italiano “clausole contrattuali tipo”, vengono inserite nei contratti per garantire legalmente che i fornitori di servizi tratteranno i dati in modo conforme.

Tuttavia, è bene precisare che la sentenza del 16 luglio approva il meccanismo delle Scc nel trasferimento delle informazioni verso responsabili del trattamento stabiliti in Paesi terzi.

Riportiamo fedelmente: «Si ritiene valida la decisione 2010/87 della Commissione relativa alle clausole contrattuali standard per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi». Purché garantiscano un adeguato livello di protezione.

Clausole contrattuali standard

Osserva Samantha Simms, specialista in protezione dei dati di viaggio aziendale, principale consulente e fondatore di Information Collective: «Ciò che la decisione della Corte di giustizia europea ci ha detto è che tutti noi dobbiamo essere responsabili dei dati che generiamo. Se la Tmc ha chiesto di accettare determinati Scc, dovreste chiedere loro fino a che punto stanno conducendo le valutazioni di impatto e come gestiranno l’hosting degli Stati Uniti d’ora in poi».

Più nel dettaglio, i travel manager dovrebbero rivolgersi ai viaggiatori e ottenere il consenso da parte loro sul fatto che siano d’accordo con il trasferimento.

Un’altra potenziale soluzione sarebbe che le aziende di viaggi conservassero i loro dati in Europa. Gli esperti osservano che qui i dati sono più costosi rispetto ad altre regioni e ciò impatterebbe sui costi dei viaggi.

Il Privacy Shield cos’è

Il Privacy Shield è stato introdotto nel 2016.

Lo scudo per la privacy dei dati è un quadro giuridico che consente alle società commerciali statunitensi di trasferire e conservare i dati personali dall’UE negli Stati Uniti, nel rispetto delle norme più rigorose dell’Europa.

Il caso Schrems e Facebook

Quanto accade oggi trae origine da una delle più appassionanti cause legali sulla privacy dei dati. L’ha cominciata il cittadino austriaco Maximillian Schrems, che ha sfidato “la moralità” dei big del web.

Utente di Facebook dal 2008 e residente in Austria, nel 2011 Schrems presenta un reclamo all’autorità di controllo irlandese sui trasferimenti dei suoi dati da Facebook Irlanda a Facebook Usa. L’authority gli diede torto, successivamente la Corte di giustizia europea conferma la giustezza della sua interpretazione.

Infatti, come nel caso di altri utenti residenti nell’Unione europea, alcuni o tutti i dati personali di Mr Schrems vengono trasferiti da Facebook Irlanda a server appartenenti a Facebook Inc. che si trovano negli Stati Uniti. Qui vengono sottoposti “a trattamento”.

Cosa lamentò Mr Schrems (allora 28enne), che è anche un avvocato attivista che si batte per la privacy dei dati?

Ha affermato che la legge e le prassi negli Stati Uniti non offrono una protezione sufficiente contro l’accesso delle autorità pubbliche ai dati trasferiti in quel Paese.

Il caso è ri-aperto.

Approfondisci sulla biometria in aeroporto e il rispetto della privacy.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-advertisement	1 year	Impostato dal plugin GDPR Cookie Consent, questo cookie viene utilizzato per registrare il consenso dell'utente per i cookie nella categoria "Annunci"
cookielawinfo-checkbox-analytics	11 months	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Analitici".
cookielawinfo-checkbox-functional	11 months	Il cookie è impostato dal GDPR cookie consenso per registrare il consenso dell'utente per i cookie nella categoria "Funzionali".
cookielawinfo-checkbox-necessary	11 months	Questo cookie è impostato dal plugin GDPR Cookie Consent. I cookie vengono utilizzati per memorizzare il consenso dell'utente per i cookie nella categoria "Necessari".
cookielawinfo-checkbox-others	11 months	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Altro.
cookielawinfo-checkbox-performance	11 months	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Prestazioni".
CookieLawInfoConsent	1 year	Registra lo stato del pulsante predefinito della categoria corrispondente e lo stato del CCPA. Funziona solo in coordinamento con il cookie principale.
PHPSESSID	session	Questo cookie è nativo per le applicazioni PHP. Il cookie viene utilizzato per memorizzare e identificare l'ID di sessione univoco di un utente allo scopo di gestire la sessione dell'utente sul sito web. Il cookie è un cookie di sessione e viene eliminato alla chiusura di tutte le finestre del browser.
viewed_cookie_policy	11 months	Il cookie è impostato dal plugin GDPR Cookie Consent e viene utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.

Cookie	Durata	Descrizione
_ga	2 years	Il cookie _ga, installato da Google Analytics, calcola i dati di visitatori, sessioni e campagne e tiene anche traccia dell'utilizzo del sito per il rapporto di analisi del sito. Il cookie memorizza le informazioni in modo anonimo e assegna un numero generato casualmente per riconoscere i visitatori unici.
_ga_8PG28V3C03	2 years	Questo cookie è installato da Google Analytics.
_gat_gtag_UA_57175867_17	1 minute	Impostato da Google per distinguere gli utenti.
_gid	1 day	Installato da Google Analytics, il cookie _gid memorizza informazioni su come i visitatori utilizzano un sito Web, creando anche un rapporto analitico delle prestazioni del sito Web. Alcuni dei dati che vengono raccolti includono il numero dei visitatori, la loro origine e le pagine che visitano in modo anonimo.
CONSENT	2 years	YouTube imposta questo cookie tramite i video di YouTube incorporati e registra dati statistici anonimi.
iutk	5 months 27 days	Questo cookie viene utilizzato dal sistema analitico Issuu per raccogliere informazioni sull'attività dei visitatori sui prodotti Issuu.
uid	2 months	Questo è un cookie UserID di Google che traccia gli utenti in vari segmenti del sito web.

Cookie	Durata	Descrizione
test_cookie	15 minutes	Il test_cookie è impostato da doubleclick.net e viene utilizzato per determinare se il browser dell'utente supporta i cookie.
VISITOR_INFO1_LIVE	5 months 27 days	Un cookie impostato da YouTube per misurare la larghezza di banda che determina se l'utente ottiene la nuova o la vecchia interfaccia del lettore.
YSC	session	Il cookie YSC è impostato da Youtube e viene utilizzato per tracciare le visualizzazioni dei video incorporati sulle pagine di Youtube.
yt-remote-connected-devices	never	YouTube imposta questo cookie per memorizzare le preferenze video dell'utente utilizzando il video YouTube incorporato.
yt-remote-device-id	never	YouTube imposta questo cookie per memorizzare le preferenze video dell'utente utilizzando il video YouTube incorporato.

La messaggistica di CWT arriva con la piattaforma Slack

Volare in Asia, Nuove frequenze 2024 Milano Hong Kong

Ita Airways e Lufthansa pronte al nulla osta di Bruxelles in estate

Biocarburante auto, in arrivo 4 milioni di litri di Diesel HVO100

Nuova Mitsubishi ASX 2024

Mobilità condivisa in Italia: sondaggio Areté

Le riunioni in Zoom cambiano con l’intelligenza artificiale del nuovo Zoom Workplace

Raffaella Mascherpa, director Cisalpina Mice: ripresa, sì, ma con criticità

Il Mice secondo Elisa Presutti, managing director events del Gruppo Gattinoni

Privacy dei dati: lo scudo Eu-USA è invalidato, perché interessa le TMC?

Privacy dei dati tra Europa e Stati Uniti, i contratti con le TMC

Clausole contrattuali standard

Il Privacy Shield cos’è

Il caso Schrems e Facebook

Lascia un commento Annulla risposta