I rischi per la Privacy associati alle operazioni internazionali
Durante un processo di due diligence l'ubicazione dei server è fondamentale, specialmente quando si tratta di trasferimenti di dati giuridicamente compatibili
Francoforte, 1 agosto 2010 - In linea con le disposizioni Europee sulla protezione dei dati, non é concesso alle società europee il trasferimento legale di dati sensibili verso stati terzi come gli Stati Uniti. Il Commissario di Berlino per la protezione dei dati e per la libertà di informazione non considera i "Save Harbor Privacy Principles" come una soluzione adeguata a questo dilemma legale. Piuttosto, il Commissario raccomanda l'utilizzo di server situati all'interno della Comunità Europea. DRSdigital, quale provider di data room, nel corso di un processo di due diligence supporta lo scambio di dati tra le varie parti e si basa su server ubicati all'interno della UE, ove vige la normativa sulla protezione dei dati personali. Solo in questo modo è possibile soddisfare i requisiti di protezione dei dati imposti nei confronti dei suoi clienti ed evitare misure restrittive nonché multe da parte delle autorità competenti.
In questi tempi in cui l'importanza della protezione dei dati è in forte crescita, durante le transazioni internazionali, le società si devono confrontare ed adeguare alle leggi che tutelano la riservatezza dei dati confidenziali. Le complesse sfumature legali in merito, all'interno della Comunità Europea, fanno la differenza.
Quando si realizza una transazione, in particolare nel corso di una due diligence, la contabilità o i dati personali vengono spesso trasferiti ai potenziali acquirenti, nazionali o esteri. Il trasferimento di dati è generalmente realizzato in digitale con data room virtuali.
I dati vengono salvati localmente sui server del provider di data room il quale è soggetto a rigorosi standard di sicurezza in conformità alle dispsizioni di legge della nazione di appartenenza.
Se, per esempio, durante un processo di due diligence una società tedesca scambia dati confidenziali utilizzando una virtual data room, quale responsabile dei dati, deve assicurarsi che il provider della data room digitale sia in regola con le leggi tedesche in materia di protezione dei dati. L'elaborazione dei dati ai sensi dell articolo § 11 BDSG [Federal Data Protection Act], si applica, se la sede legale del cliente, che ne è responsabile e la sede legale del contraente, sono in Germania o in un altro Stato membro dell'Unione europea (UE). Se, tuttavia, il provider di data room virtuale ha la sua sede - inclusi i server - in un paese terzo, le norme speciali per la protezione dei dati devono essere rispettate.
Ai sensi della direttiva 95/46/CE sulla protezione dei dati, nessun dato personale proveniente dagli Stati membri della CE può essere trasferito a paesi che non hanno un livello di protezione dati paragonabile a quello prescritto dal diritto comunitario. Diversi criteri vengono considerati al momento della valutazione del livello di protezione dei dati. Ad oggi, tuttavia, solo pochi paesi, come ad esempio il Canada o la Svizzera, che hanno ottenuto lo status di paesi terzi sicuri. Gli Stati Uniti ed altre nazioni non hanno un livello di protezione dei dati comparabile al nostro, perché la legislazione e gli standard non sono conformi a quelli della Comunità Europea.
Per impedire che dati intercontinentali ed il relativo commercio arrivassero ad un punto morto, vennero stilati i principi del cosiddetto Porto Sicuro; una speciale Convenzione sulla protezione dei dati tra l'Unione europea e gli Stati Uniti, che rende possibile ad una società europea il trasferimento legale di dati personali verso gli USA. Questi principi sono oggetto di critiche nelle discussioni di politica giudiziaria su come il Porto Sicuro costituisca un meccanismo del tutto volontario e di autoregolamentazione. A parere del Commissario per la protezione dei dati e la libertà di informazione, gli uomini d'affari dovrebbero garantire che i dati personali non vengano trattati in un paese terzo, quale gli Stati Uniti. Siccome durante una transazione vengono scambiati dati altamente sensibili, contenenti spesso dati personali non preventivamente cancellati, è raccomandabile selezionare un provider che sia in grado di garantire che i dati rimangano su server all'interno della comunità europea.
Questo problema è particolarmente rilevante perché la società committente, quale responsabile, deve garantire il rispetto delle disposizioni di legge. Il trasferimento di dati verso un paese terzo in cui il ricevente non dispone di un adeguato livello di protezione costituisce un reato che può essere perseguito con multe considerevoli.
L'importanza di questo problema aumenta, in particolare nel caso di operazioni che richiedono lo scambio di dati finanziari e personali altamente sensibili attraverso le data room, tra soggetti con interessi diversi. Data Room Services, provider di data room, supporta lo scambio di dati tra le varie parti nel corso del processo di due diligence e si basa su server posizionati all'interno della UE, ove vige la normativa sulla protezione dei dati.