La dichiarazione di inadeguatezza del Privacy Shield per la tutela dei dati trasferiti negli USA: quali conseguenze per le aziende?

Il Reg. UE 679/2016 o “GDPR” si applica solo all’interno dell’Unione Europea. Ci sono, però, alcune previsioni specifiche (segnatamente nel capo V, dagli artt. 44 ss., GDPR) volte a garantire il rispetto dei principi di tutela e protezione dei dati personali anche nel caso di trasferimento dei dati dall’Unione Europea verso i paesi Extra-UE.

In questo contesto, si inseriva il Privacy Shield, ovvero lo “scudo per la privacy”, che nel 2016 era stato approvato con una decisione della Commissione Europea e ritenuto uno strumento idoneo a garantire un adeguato livello di protezione con riguardo ai trasferimenti dei dati dall’Unione Europea agli Stati Uniti.

Il 16 luglio scorso, però, la Corte di Giustizia, ha invalidato la suddetta decisione della Commissione Europea (Decisione 2016/1250), ritenendo inadeguato il meccanismo del Privacy Shield a tutelare la riservatezza dei dati dei cittadini europei.

Occorre quindi chiedersi: quali conseguenze comporta la dichiarazione dell’invalidità del Privacy Shield? E come è possibile affrontare il problema del trasferimento di dati da UE a USA allo stato attuale?

Cos’era il Privacy Shield e come funzionava

Il Privacy Shield prevedeva un meccanismo di autocertificazione a cui si sottoponevano le società con sede negli USA che intendevano ricevere dati personali dall’Unione Europea. In particolare, tramite questo sistema, le Società Statunitensi si impegnavano a garantire il rispetto dei principi vigenti nell’UE e, naturalmente, dei principi previsti dal GDPR, fornendo agli interessati adeguati strumenti di tutela.

Così, moltissime Società americane (quali ad esempio Google, Mailchimp, Facebook, Microsoft e molte altre) si affidavano allo “scudo UE-USA” per ricevere dati personali dall’Unione Europea.

In caso di mancato rispetto di tali principi, le Società subivano determinate conseguenze, quali: la rimozione dalla lista delle società certificate (“Privacy Shield List”), nonché specifiche sanzioni da parte della Federal Trade Commission (ovvero la Commissione federale per il commercio statunitense).

Si trattava, pertanto, di un sistema che permetteva di assicurare una tutela dei dati personali provenienti dall’Unione Europea anche in un paese in cui non vige il GDPR, e in cui non sono dunque garantiti i medesimi diritti per gli Interessati.

Con la decisione 2016/1250, la Commissione Europea aveva ritenuto che il Privacy Shield offrisse un livello adeguato di protezione dei dati personali trasferiti dall’Unione a una società stabilita negli Stati Uniti iscritta alla Privacy Shield list e munita della suddetta autocertificazione. Secondo la Commissione Europea, pertanto, il Privacy Shield costituiva una fonte di garanzie giuridiche adeguate ai trasferimenti dei dati verso gli USA.

La Sentenza della Corte di Giustizia e le conseguenze della dichiarazione di invalidità

Come anticipato, la Corte di Giustizia dell’Unione Europea ha però stabilito che il sistema offerto dal Privacy Shield non è idoneo a garantire un’adeguata protezione dei dati personali trasferiti negli USA, per una serie di ragioni.

In primo luogo, osserva la Corte, l’Ordinamento statunitense sancisce il primato di determinate esigenze di interesse pubblico, relative ad esempio alla sicurezza nazionale o al rispetto delle leggi, che consentono l’accesso ai dati personali trasferiti negli USA con molte meno limitazioni rispetto a quanto consentito in Europa. Ciò risulta sostanzialmente incompatibile, già di per sé, con i principi di proporzionalità e necessità previsti dal GDPR, secondo cui i dati utilizzati devono essere limitati a quelli strettamente necessari rispetto alle finalità perseguite, e il trattamento può essere considerato lecito soltanto quando esso sia l’unico mezzo ragionevole per raggiungere lo scopo perseguito.

In secondo luogo, secondo la Corte, tale sistema non assicurerebbe un’adeguata tutela giurisdizionale agli interessati, che non avrebbero a disposizione degli strumenti idonei per la difesa dei propri diritti.

L’impatto di questa sentenza, come è evidente, è forte e non trascurabile.

Infatti, allo stato attuale, tutte le Società che risiedono negli USA e che basavano la legittimità del trasferimento dei dati personali sul Privacy Shield, dovranno rivedere la propria politica interna di trattamento dei dati provenienti dall’Unione Europea e fondare la liceità del trasferimento a un’altra delle basi giuridiche previste dal Titolo V del GDPR.

In assenza di un tale adeguamento, le attività di trattamento saranno considerarsi illecite.

La base giuridica del trasferimento dei dati verso paesi extra-UE

Il Privacy Shield non era però l’unica modalità per rendere leciti i trasferimenti dei dati personali dall’Ue agli Stati Uniti. A tal proposito, occorre tener presente quanto previsto dall’intero capo V del GDPR che si occupa di disciplinare i “trasferimenti di dati verso paesi terzi”, ovvero tutti gli stati extra europei in cui non si applica il GDPR.

In particolare, l’art. 44 GDPR prevede che qualunque trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale possa avere luogo soltanto se è rispettata almeno una delle condizioni di cui agli artt. 45 e ss., ovvero:

  • In presenza di una decisione di adeguatezza da parte della Commissione Europea. In particolare, secondo quanto previsto dall’art. 45 GDPR, il trasferimento è ammesso “se la Commissione ha deciso che il paese terzo garantisce un livello di protezione adeguato”.

In tale ipotesi rientrava, peraltro, il Privacy Shield, che, come visto in precedenza, con la decisione 1250/2016, la Commissione Europea aveva ritenuto idoneo a garantire un livello di protezione adeguato.

  • Il paese terzo ha fornito garanzie adeguate, ma solo a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi (art. 46 GDPR).

A tal proposito, costituiscono delle “garanzie adeguate”, e sono quindi idonee a garantire la liceità del trasferimento, le c.d. Clausole contrattuali Standard (SCC), ovvero delle clausole contrattuali- tipo adottate dalla Commissione Europea che hanno lo scopo di vincolare il soggetto a cui vengono trasferiti i dati ad adottare garanzie adeguate sui dati oggetto del trasferimento. Al riguardo, occorre precisare che anche la decisione della Commissione Europea sulle Clausole Contrattuali Standard era stata posta al vaglio della Corte di Giustizia, senza che però essa fosse invalidata. Pertanto, esse possono ancora costituire un’idonea base giuridica per il trasferimento.

  • In presenza di norme vincolanti d’impresa, ovvero delle clausole che fissano i principi e le regole di condotta che devono essere rispettate tra società appartenenti al medesimo gruppo societario (Binding Corporate Rules), e aventi sede sia in territorio europeo che extraeuropeo.

Oltre alle ipotesi appena viste, l’art. 49 GDPR prevede anche delle ipotesi residuali in cui il trasferimento dei dati può comunque considerarsi lecito. In particolare, si fa riferimento al caso in cui l’Interessato abbia prestato il proprio consenso libero ed esplicito. In tal caso, però, ai fini della validità del consenso prestato, l’interessato deve essere stato adeguatamente e previamente informato dei rischi del trasferimento e dell’assenza di garanzie del rispetto dei diritti riconosciuti nel GDPR.

Soluzioni operative allo stato attuale

Come si è visto, la Sentenza della Corte di Giustizia ha una portata molto ampia in quanto coinvolge un gran numero di Società americane che basavano i trasferimenti dei dati dall’UE sul Privacy Shield.

Pertanto, considerando tale circostanza, le autorità competenti dovranno concedere un ragionevole lasso di tempo alle società coinvolte per regolarizzare la propria posizione.

In questo lasso di tempo tutte le aziende Italiane ed Europee che si appoggiavano sul Privacy Shield per garantire la liceità del trasferimento dei dati verso gli USA dovranno a loro volta affrontare le conseguenze di tale decisione.

Al riguardo, il primo passo sarà quello di valutare i fornitori di servizi a cui si fa ricorso e che assumono il ruolo di Responsabili del Trattamento ex art. 28 GDPR, per verificare se comportano dei trasferimenti di dati verso gli Stati Uniti sulla base del Privacy Shield.

In tal caso occorrerà poi verificare se tali trasferimenti si possano basare anche su altri strumenti, come ad esempio le clausole contrattuali standard o le norme vincolanti d’impresa. In mancanza, sarà necessario predisporre ulteriori strumenti di garanzia, anche ad esempio, tra quelli previsti dall’art. 49 GDPR.

Redazione Diritto dell’Informatica

GDPR
luglio 24, 2020
dati personaligdprprivacyPrivacy shieldscudo USA-UESentenza Corte di Giustiziatrasferimenti extra-uetrasferimento dati personali all'esterotrattamento dei dati personali
logo fclex nero

Scopri anche

intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

28 Mar
Leggi tutto
linee guida agcom influencer

Nuove Linee guida AGCOM per Influencer e Content Creator: Criticità, multe e sfide nel Contesto Giuridico

17 Gen
Leggi tutto
ecommerce sanzioni direttiva omnibus 2023 omnibus

Nuovi obblighi per gli eCommerce: maggiori responsabilità per le imprese e tutele per i consumatori

14 Apr
Leggi tutto
recesso contratto clausola ecommerce limite

Diritto di recesso dal contratto: limiti e clausola di recesso

6 Apr
Leggi tutto
COME REGISTRARE MARCHIO

Come registrare un marchio? Le 5 domande più frequenti

29 Mar
Leggi tutto
guadagnare con marchio e licenza

Licensing e modelli di Business: 5 licenze per monetizzare il tuo marchio

18 Gen
Leggi tutto

Ultimi aggiornamenti

password garante

Linee guida del Garante Privacy in materia di Funzioni Crittografiche e Conservazione delle Password

Con il provvedimento n. 9962283 del 7 dicembre 2023, il Garante per la Protezione dei Dati Personali e l’Agenzia per la cybersicurezza nazionale (ACN) hanno emanato alcune Linee Guida in materia “Funzioni Crittografiche e Conservazione delle Password”. Successivamente, con un comunicato del 1° marzo 2024, il […]
aprile 4, 2024
Leggi tutto
intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

Avv. Giuseppe Croari – Dott.ssa Francesca Gattarello Ad oggi sono notoriamente risaputi i vantaggi che l’intelligenza artificiale ha apportato anche nel mondo del lavoro (a tal proposito vi segnaliamo questo articolo). A ciò si aggiunga la maggiore consapevolezza che la società ha acquisito, negli ultimi anni, […]
marzo 28, 2024
Leggi tutto
contratto vendere webinar

Il Contratto come strumento per vendere di più

Hai mai pensato al tuo contratto come a un’arma segreta per il successo? Probabilmente no. La maggior parte delle persone considera il contratto come un ostacolo burocratico, un documento noioso e pieno di “legalese” incomprensibile. Ma se ti dicessi che il tuo contratto può essere molto […]
marzo 15, 2024
Leggi tutto

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.

scopri altri video

Dirittodellinformatica.it è rivista telematica registrata il 08.04.2008 presso il Tribunale di Foggia (n. 10/08 registro periodici, cron. n. 816/08). Proprietari del sito: Gianluigi Fioriglio e Giuseppe Croari. Direttore responsabile: Gerardo Antonio Cavaliere. P.I. Studio Legale Associato Fioriglio-Croari: 02863681207.

Il contenuto del sito è sottoposto a licenza Creative Commons (Attribuzione-Non commerciale-Non opere derivate 3.0 Unported). E' possibile riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare il contenuto del sito purché sia attribuita esplicitamente la paternità di ogni sua singola parte; non sono consentiti utilizzi per fini commerciali, nè alterazioni o trasformazioni del contenuto del sito.

© 2024 dirittodellinformatica.it