• Corsi Online
  • Chi siamo
  • Eventi
  • Blog & News
  • Contatti
  • Shop
    Domande?
    035 413 94 94
    formazione@privacycontrol.it
    Login
    Piattaforma E-Learning del Dott. M. Zampetti
    • Corsi Online
    • Chi siamo
    • Eventi
    • Blog & News
    • Contatti
    • Shop

      Blog

      • Home
      • Blog
      • Blog
      • Invalidazione Privacy Shield: Cosa fare?

      Invalidazione Privacy Shield: Cosa fare?

      • Posted by Massimo Zampetti
      • Categories Blog, G.D.P.R.
      • Date Maggio 20, 2020

      Dati personali, perché la Corte di Giustizia ha annullato il «Privacy Shield»

      Come noto la Corte di giustizia dell’Unione europea (CGUE) si è pronunciata lo scorso 16 luglio (c.d. “Sentenza Schrems II”) in merito al regime di trasferimento dei dati tra l’Unione europea e gli Stati Uniti invalidando la decisione di adeguatezza del “Privacy Shield, adottata nel 2016 dalla Commissione europea in seguito alla decadenza dell’accordo “Safe Harbor”.

      Nella stessa sentenza la CGUE ha inoltre ritenuta valida la decisione 2010/87 relativa alle clausole contrattuali tipo (SCC) per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi.

      Il Comitato Europeo per la Protezione dei Dati (EDPB) ha predisposto delle FAQ relative alla sentenza Schrems e ai suoi effetti che si sono rivelate utili per risolvere, almeno in parte, alcuni dubbi.

      Scopri i nostri servizi in materia di GDPR e Privacy

      Lo si è percepito chiaramente a seguito dell’invalidazione, da parte della Corte di giustizia, meno di cinque anni fa, della decisione della Commissione fondata sull’accordo “Safe Harbor”, che sanciva le garanzie da accordare ai dati trasferiti negli Usa dall’Europa. Tale accordo (per il cui miglioramento tanto si era speso Stefano Rodotà, all’epoca della sua negoziazione Garante italiano e presidente dell’organo di coordinamento dei Garanti europei) era stato, infatti, ritenuto inidoneo ad assicurare una protezione sufficiente ai dati personali ricevuti dall’Europa.

      ————–> Di fatto secondo la Corte di Giustizia:

      •  il livello di protezione dei diritti tra le due sponde dell’Atlantico NON si poteva considerare equivalente, e quindi bisognava rinegoziare un nuovo accordo che potesse rafforzare le garanzie dei soggetti i cui dati siano trasferiti oltreoceano. Esito di questa negoziazione è stato lo scudo transatlantico (privacy Shield) che però, con la sentenza del 16 luglio, è stato ritenuto inidoneo dalla Corte di Lussemburgo a garantire una protezione, “sostanzialmente equivalente” a quella europea.

      La Corte ritiene che le limitazioni di tale diritto, ammesse nell’ordinamento statunitense, non possano ritenersi proporzionali, in ragione, essenzialmente, del carattere massivo degli accessi previsti dai programmi di surveillance.

      Né, del resto, l’ordinamento statunitense accorda una tutela giurisdizionale effettiva ai diritti degli interessati lesi, non potendo ritenersi a tal fine sufficiente – osserva la Corte:

      • la procedura di mediazione affidata dallo Shield all’Ombudsperson, in ragione della sua non piena indipendenza e della carenza di poteri decisori vincolanti nei confronti degli organi di intelligence statunitensi.

      La Corte sottolinea, insomma, l’esigenza di una tutela effettiva di quello che il Presidente uscente del Garante italiano, Antonello Soro, ha definito diritto “di libertà”, argomentando dalla sua collocazione sistematica all’interno della Carta di Nizza.

      Scopri i nostri servizi in materia di GDPR e Privacy

      LE CLAUSOLE

      L’altro profilo importante è, per altro verso, nascosto tra le pieghe della conferma della validità della decisione della Commissione sulle clausole contrattuali tipo, suscettibili di inclusione negli accordi commerciali per il trasferimento dei dati.

      La legittimità del ricorso a queste clausole – pur non vincolanti, in ragione della loro natura negoziale, per le autorità Usa – si fonda, per la Corte, sul controllo ulteriore che esse impongono, ai data exporter e alle Autorità di protezione dati, circa le chances di loro effettiva attuazione nello Stato ricevente. Si tratta di un vaglio indubbiamente complesso, di cui ancora una volta si onera un soggetto privato quale il data exporter, secondo una linea di marcata responsabilizzazione promossa non solo dal Gdpr ma anche, più in generale, dalla Corte di giustizia, rispetto agli obblighi del provider circa i contenuti illeciti diffusi in rete. Un indirizzo, questo, teso a far corrispondere a sempre più rilevanti “poteri privati” altrettanti oneri di carattere, talora, quasi pubblicistico.

      Scopri i nostri servizi in materia di GDPR e Privacy

      CONCLUSIONI

      L’EDPB ha specificato che è ancora possibile trasferire dati dal SEE agli Stati Uniti sulla base delle deroghe previste dall’articolo 49 del GDPR, purché siano soddisfatte le condizioni di cui a tale articolo.

      In particolare, è opportuno ricordare che, quando i trasferimenti sono basati sul consenso dell’interessato, esso dovrebbe essere: esplicito, specifico con riguardo al particolare trasferimento o insieme di trasferimenti (il che significa che l’esportatore deve assicurarsi di ottenere un consenso specifico prima che il trasferimento sia messo in atto anche se ciò avviene dopo la raccolta dei dati), e informato.

      Per quanto riguarda i trasferimenti necessari all’esecuzione di un contratto tra l’interessato e il titolare del trattamento, occorre tenere presente che i dati personali possono essere trasferiti solo su base occasionale.

      FONTI: federprivacy, sole24ore

       
      • Share:
      Massimo Zampetti

      Laureato in Giurisprudenza all’Università di Bergamo, parla fluentemente inglese e ha una discreta conoscenza dello spagnolo. Fondatore ed Amministratore di PrivacyControl, società di consulenza composta da un team di professionisti esperti in “law compliance”, diritto delle nuove tecnologie e organizzazione aziendale digitale con sedi a Bergamo e Bologna.

      Previous post

      App Immuni: funzionamento e adozione in tutta Italia
      Maggio 20, 2020

      Next post

      Didattica a Distanza e Privacy: i software che spiano gli studenti
      Ottobre 28, 2020

      You may also like

      covid-19-termoscanner-videocamera
      Videosorveglianza & FAQ del Garante: chiarezza tra regole generali
      28 Dicembre, 2020
      blog-5
      Didattica a Distanza e Privacy: i software che spiano gli studenti
      28 Ottobre, 2020
      course-9
      App Immuni: funzionamento e adozione in tutta Italia
      15 Aprile, 2020

      Search

      Categorie

      • Blog
      • G.D.P.R.
      • Privacy & Cybersecurity
      • Privacy & Scuola
      • Privacy & Videosorveglianza
      035 413 94 94
      formazione@privacycontrol.it
      Facebook-f
      Linkedin

      Preferiti

      • Corsi Online
      • Chi siamo
      • Blog
      • Contatti
      • Shop

      Privacy & Cookie

      • Privacy Policy
      • Cookie Policy
      • Condizioni di Vendita

      Education WordPress Theme by ThimPress. Powered by PrivacyControl.

      Connect with

      Login with Google Login with LinkedIn

      logo


      Login with your site account

      Connect with

      Login with Google Login with LinkedIn

      logo



      Lost your password?

      Utilizziamo i cookie per essere sicuri che tu possa avere la migliore esperienza sul nostro sito. Se continui ad utilizzare questo sito noi assumiamo che tu ne sia felice.AccettaPrivacy policy