Nonostante importanti punti di distanza, in futuro le legislazioni si avvicineranno sempre di più, rendendo più agevole alle imprese intrattenere relazioni efficaci. L’analisi di Francesca Bassa (of counsel, Crclex) con alcune considerazioni dell’avvocato Assaf Harel
In tempi recenti, il tema della protezione dei dati personali ha assunto sempre maggiore rilevanza nel dibattito europeo ed in particolare è stato molto discusso l’argomento del trasferimento e del trattamento dei dati degli utenti all’esterno dei confini dell’Unione, che in un mondo così iper connesso avviene all’ordine del giorno. Il dibattito pubblico è alimentato principalmente dalle numerose vicende giuridiche intercorse tra le autorità garanti e svariate società del settore delle big tech, tra i più recenti ricordiamo il caso Google Analytics. Ancora più recente è poi la notizia della sigla di un nuovo accordo di “principio” tra Commissione Europea e Stati Uniti in relazione al trasferimento di dati personali verso quest’ultimo Paese (Trans-Atlantic Data Privacy Framework): la questione era rimasta in sospeso a seguito della sentenza Schrems II.
Per questa ragione abbiamo chiesto un parere all’avvocato Assaf Harel, specializzato in data protection in Israele, Paese noto per essere tra i più avanzati tecnologicamente e che attualmente si sta muovendo per portare avanti riforme nel settore della protezione del dato. L’ avvocato è a capo del dipartimento Cyber and data protection presso Gornitzky, uno dei principali studi legali israeliani. Fornisce consulenza sulle implicazioni pratiche delle leggi e dei regolamenti israeliani e globali sulla privacy e sulla sicurezza informatica a vari clienti, tra questi figurano istituzioni finanziarie internazionali, società tecnologiche e società di sicurezza informatica. Inoltre, è membro del National Privacy Protection Council israeliano e del Comitato Internet dell’Israel Bar Association. È stato in passato membro dell’International Association of Privacy Professionals’ Research Advisory Board.
Così come avviene in Unione europea per il Gdpr, anche la legislazione israeliana prevede regole per la protezione dei dati personali, queste sono contenute principalmente nella legge Protection of Privacy Law (Ppl), un documento la cui stesura risale al lontano 1981 e che per forza di cose richiede e ha richiesto numerosi emendamenti nel corso degli anni.
È notizia recente che il Parlamento stia lavorando a un nuovo progetto di riforma per rendere il Ppl più allineato alla legislazione dell’Unione: tra le proposte più interessanti spicca una riformulazione di alcune delle principali definizioni contenute nel testo allo scopo di assimilarle a quelle europee. Considerati gli importanti rapporti commerciali che intercorrono tra Israele e l’Unione europea, è rilevante per molte imprese essere compliant con i requisiti di questo atto legislativo.
Si ravvisano parecchie somiglianze tra il Ppl ed il Gdpr, come spiega Harel. “Molti dei requisiti di legge richiesti dal governo di Israele in materia di dati personali si riflettono anche nel Gdpr. Vi sono similitudini rispetto ai principi di trasparenza, limitazione delle finalità e determinati diritti degli interessati (tra questi spiccano i diritti accesso e rettifica)”, spiega. Tuttavia, “visto che il Ppl non è stato modificato in modo significativo negli ultimi 40 anni, il Gdpr è più completo e moderno. Ne consegue che un’azienda che rispetta pienamente il Gdpr si trova nella condizione di soddisfare molte delle disposizioni della legge israeliana sulla privacy”.
Nonostante esistano numerose somiglianze, sono presenti inevitabilmente alcune differenze, tra queste, spiega l’avvocato Harel, ne spiccano alcune per rilevanza: “Il Ppl richiede che alcune banche dati che rispondono a determinati requisiti previsti da legge eseguano un processo di registrazione; le previsioni di legge impongono requisiti di sicurezza dei dati dettagliati a titolari e responsabili del trattamento dei database contenenti dati personali, che sono più specifici e concreti di quelli menzionati nell’articolo 32 del Gpdr; infine, merita di essere ricordato che sussistono differenze tra i requisiti di trasferimento dei dati richiesti dal diritto israeliano ed europeo”.
Approfondendo quest’ultimo aspetto in particolare, le norme per il trasferimento dei dati personali all’estero sono regolate dal Protection of Privacy Regulations (Transfer of Data to Overseas Databases) 5761-2001 (“Transfer Regulations”). L’idea di fondo è strutturata in termini analoghi alla legislazione europea: il corpus normativo elenca una serie di basi giuridiche stabilite nel Regolamento sui trasferimenti.
Secondo Harel, “in Israele le basi giuridiche più comunemente utilizzate per tali trasferimenti sono: (a) il trasferimento in un Paese che è parte della ‘Convention 108’ (all’interno della quale sono compresi, tra gli altri, tutti i Paesi dell’Unione europea); (b) Il trasferimento a un destinatario vincolato da un accordo che richiede allo stesso di conformarsi, mutatis mutandis, ai requisiti di protezione dei dati applicabili in Israele; e (c) il consenso dell’interessato al trasferimento. Inoltre, il database owner (l’equivalente israeliano di un ‘titolare del trattamento’) deve ricevere un impegno scritto dal cessionario che quest’ultimo adotti misure adeguate per garantire la privacy degli interessati e che non trasferirà i dati a nessun altra persona senza previo consenso”.
Harel aggiunge che al momento in Israele non sembra potersi rilevare una significativa applicazione della Transfer Regulation, sono, però, in discussone in Parlamento proposte che prevedono un potenziamento dei poteri della Privacy Protection Authority israeliana, ciò la renderà più efficiente nella sorveglianza e nel controllo e ciò potrebbe portare ad affrontare il tema del trasferimento con più frequenza. “A differenza di quanto avviene nel pubblico, il tema del trasferimento è molto discusso nel settore privato”, dice. “Ciò è dovuto principalmente al fatto che molte aziende israeliane sono soggette ai requisiti del Gdpr, sia in base all’applicazione extraterritoriale del Gdpr sia in base ad accordi di elaborazione dati con società europee. Inoltre, i settori regolamentati (per esempio istituzioni finanziarie e infrastrutture critiche) sono spesso soggetti a requisiti settoriali che limitano il trattamento extraterritoriale dei dati”.
Con l’analisi dell’avvocato possiamo concludere che sebbene permangano ancora alcuni importanti punti di distanza tra l’ordinamento israeliano e quello europeo in tema di protezione del dato, possiamo ragionevolmente aspettarci che in un futuro le legislazioni si avvicineranno sempre di più, rendendo sempre più agevole alle imprese intrattenere relazioni efficaci.
