Back

Invalidazione Privacy Shield: Cosa fare?

Dati personali, perché la Corte di Giustizia ha annullato il «Privacy Shield»

Come noto la Corte di giustizia dell’Unione europea (CGUE) si è pronunciata lo scorso 16 luglio (c.d. “Sentenza Schrems II”) in merito al regime di trasferimento dei dati tra l’Unione europea e gli Stati Uniti invalidando la decisione di adeguatezza del “Privacy Shield, adottata nel 2016 dalla Commissione europea in seguito alla decadenza dell’accordo “Safe Harbor”.

Nella stessa sentenza la CGUE ha inoltre ritenuta valida la decisione 2010/87 relativa alle clausole contrattuali tipo (SCC) per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi.

Il Comitato Europeo per la Protezione dei Dati (EDPB) ha predisposto delle FAQ relative alla sentenza Schrems e ai suoi effetti che si sono rivelate utili per risolvere, almeno in parte, alcuni dubbi.

Scopri i nostri servizi in materia di GDPR e Privacy

Lo si è percepito chiaramente a seguito dell’invalidazione, da parte della Corte di giustizia, meno di cinque anni fa, della decisione della Commissione fondata sull’accordo “Safe Harbor”, che sanciva le garanzie da accordare ai dati trasferiti negli Usa dall’Europa. Tale accordo (per il cui miglioramento tanto si era speso Stefano Rodotà, all’epoca della sua negoziazione Garante italiano e presidente dell’organo di coordinamento dei Garanti europei) era stato, infatti, ritenuto inidoneo ad assicurare una protezione sufficiente ai dati personali ricevuti dall’Europa.

————–> Di fatto secondo la Corte di Giustizia:

  •  il livello di protezione dei diritti tra le due sponde dell’Atlantico NON si poteva considerare equivalente, e quindi bisognava rinegoziare un nuovo accordo che potesse rafforzare le garanzie dei soggetti i cui dati siano trasferiti oltreoceano. Esito di questa negoziazione è stato lo scudo transatlantico (privacy Shield) che però, con la sentenza del 16 luglio, è stato ritenuto inidoneo dalla Corte di Lussemburgo a garantire una protezione, “sostanzialmente equivalente” a quella europea.

La Corte ritiene che le limitazioni di tale diritto, ammesse nell’ordinamento statunitense, non possano ritenersi proporzionali, in ragione, essenzialmente, del carattere massivo degli accessi previsti dai programmi di surveillance.

Né, del resto, l’ordinamento statunitense accorda una tutela giurisdizionale effettiva ai diritti degli interessati lesi, non potendo ritenersi a tal fine sufficiente – osserva la Corte:

  • la procedura di mediazione affidata dallo Shield all’Ombudsperson, in ragione della sua non piena indipendenza e della carenza di poteri decisori vincolanti nei confronti degli organi di intelligence statunitensi.

La Corte sottolinea, insomma, l’esigenza di una tutela effettiva di quello che il Presidente uscente del Garante italiano, Antonello Soro, ha definito diritto “di libertà”, argomentando dalla sua collocazione sistematica all’interno della Carta di Nizza.

Scopri i nostri servizi in materia di GDPR e Privacy

LE CLAUSOLE

L’altro profilo importante è, per altro verso, nascosto tra le pieghe della conferma della validità della decisione della Commissione sulle clausole contrattuali tipo, suscettibili di inclusione negli accordi commerciali per il trasferimento dei dati.

La legittimità del ricorso a queste clausole – pur non vincolanti, in ragione della loro natura negoziale, per le autorità Usa – si fonda, per la Corte, sul controllo ulteriore che esse impongono, ai data exporter e alle Autorità di protezione dati, circa le chances di loro effettiva attuazione nello Stato ricevente. Si tratta di un vaglio indubbiamente complesso, di cui ancora una volta si onera un soggetto privato quale il data exporter, secondo una linea di marcata responsabilizzazione promossa non solo dal Gdpr ma anche, più in generale, dalla Corte di giustizia, rispetto agli obblighi del provider circa i contenuti illeciti diffusi in rete. Un indirizzo, questo, teso a far corrispondere a sempre più rilevanti “poteri privati” altrettanti oneri di carattere, talora, quasi pubblicistico.

Scopri i nostri servizi in materia di GDPR e Privacy

CONCLUSIONI

L’EDPB ha specificato che è ancora possibile trasferire dati dal SEE agli Stati Uniti sulla base delle deroghe previste dall’articolo 49 del GDPR, purché siano soddisfatte le condizioni di cui a tale articolo.

In particolare, è opportuno ricordare che, quando i trasferimenti sono basati sul consenso dell’interessato, esso dovrebbe essere: esplicito, specifico con riguardo al particolare trasferimento o insieme di trasferimenti (il che significa che l’esportatore deve assicurarsi di ottenere un consenso specifico prima che il trasferimento sia messo in atto anche se ciò avviene dopo la raccolta dei dati), e informato.

Per quanto riguarda i trasferimenti necessari all’esecuzione di un contratto tra l’interessato e il titolare del trattamento, occorre tenere presente che i dati personali possono essere trasferiti solo su base occasionale.

FONTI: federprivacy, sole24ore

 
Massimo Zampetti

Laureato in Giurisprudenza all’Università di Bergamo, parla fluentemente inglese e ha una discreta conoscenza dello spagnolo. Fondatore ed Amministratore di PrivacyControl, società di consulenza composta da un team di professionisti esperti in “law compliance”, diritto delle nuove tecnologie e organizzazione aziendale digitale con sedi a Bergamo e Bologna.

You may also like

blog-5
Didattica a Distanza e Privacy: i software che spiano gli studenti
28 Aprile, 2023
covid-19-termoscanner-videocamera
Videosorveglianza & FAQ del Garante: chiarezza tra regole generali
28 Dicembre, 2022
Lock HERO
Riconoscimento biometrico, la protezione dei dati personali
7 Settembre, 2022