Trasferimenti dati USA non più legittimi con il Privacy Shield

15/09/2020
di Valentina Frediani

Dal Il Caffé Digitale (The Innovation Group)

La Corte di giustizia dell’Unione europea si è pronunciata lo scorso 16 luglio 2020  in merito al regime di trasferimento dei dati tra l’Unione europea e gli Stati Uniti invalidando la decisione di adeguatezza del Privacy Shield, adottata nel 2016 dalla Commissione europea in seguito alla decadenza dell’accordo Safe Harbor. Vediamo dunque cosa ha stabilito la Corte nella suddetta sentenza che cambia notevolmente il panorama giuridico inerente il trasferimento dei dati negli USA.

La Corte ha ritenuto che i requisiti del diritto interno degli Stati Uniti comportino limitazioni alla protezione dei dati personali che non consentano di ritenere i requisiti giuridici sussistenti in tale Paese equivalenti a quelli previsti in Europa. Difatti la Corte ritiene non in linea con la nostra legislazione europea, la possibilità per le autorità pubbliche degli Stati Uniti di accedere per fini connessi alla sicurezza nazionale ai dati personali trasferiti dall’UE, peraltro non riconoscendo agli interessati l’esercizio dei diritti in sede giudiziaria contro le autorità statunitensi. Alla luce di tale grado di ingerenza nei diritti fondamentali delle persone i cui dati sono trasferiti verso il suddetto paese terzo, la Corte ha dichiarato invalida la decisione sull’adeguatezza dello scudo per la privacy sino ad oggi sussistente (Privacy Shield). La sentenza ovviamente produce effetti di abnorme portata in particolare sui trattamenti oggetto di trasferimento alla data della pronuncia. Difatti, annullando la decisione relativa allo scudo per la privacy senza preservarne gli effetti, la Corte rende illegittimo qualsiasi trasferimento negli USA con effetto immediato salvo onerare il Titolare del trattamento di analizzare caso per caso le garanzie di trasferimento valutandone ogni singolo esito. Diviene dunque illegale ogni trasferimento basatosi sul Privacy Shield a prescindere pertanto da trasferimenti all’interno dello stesso gruppo (avendo applicato le cosiddette Binding Corporate Rules) o con soggetti terzi. Eseguita l’analisi caso per caso (tipologie di dati trasferiti, misure di sicurezza adottate, misure organizzative sussistenti, ecc.)  laddove si possa garantire che la normativa statunitense non interferisca con l’adeguato livello di protezione dovuto si potrà procedere con il trasferimento, altrimenti si dovrà provvedere ad interrompere immediatamente il trasferimento.

Ricordiamo che una alternativa è il trasferimento subordinato al consenso dell’interessato. Il consenso ovviamente deve essere esplicito, quindi riferito espressamente al particolare trasferimento o insieme di trasferimenti, ed informato, ovvero con idonea comunicazione circa i possibili rischi del trasferimento. Per quanto riguarda i trasferimenti necessari all’esecuzione di un contratto tra l’interessato e il titolare del trattamento, occorre tenere presente che i dati personali possono essere trasferiti solo laddove tale trasferimento sia oggettivamente necessario all’esecuzione del contratto. Infine, rispetto ai rapporti con soggetti pubblici, i trasferimenti possono avvenire non tanto per la qualifica del soggetto pubblico stesso ma solo laddove ricorrano motivi di interesse pubblico.

Insomma, la situazione si fa particolarmente complessa. Allo stato attuale è in corso l’analisi da parte del Comitato europeo per la protezione dei dati della sentenza della Corte per stabilire quali misure supplementari sia giuridiche, tecniche o organizzative possano considerarsi valide per effettuare il trasferimento.

Ricordiamo che qualora ci si avvalga di un Responsabile esterno che per lo svolgimento dell’attività di trasferimento dati di cui siamo Titolari negli USA, dovremo intervenire contrattualmente per validare la legittimità analizzato il caso di specie dovendo altrimenti risolvere il contratto per il venir meno dei presupposti giuridici di legittimità.

Sotto il profilo pratico i Titolari del trattamento dovranno dunque predisporre il blocco del trasferimento dei dati negli USA salvo una delle ipotesi succitate. E restiamo in attesa di comprendere quali indicazioni emergeranno dalla Commissione. Una attesa che può avere costi organizzativi molto alti per le imprese italiane o in alternativa costringere le stesse ad accollarsi dei rischi non calcolati al momento del trasferimento dei dati. Un cambio della situazione giuridica in corsa piuttosto “dannoso”.

Riproduzione riservata ©

ALTRE NEWS

E-commerce: crescono le tutele per il consumatore

La garanzia della concorrenza è una componente essenziale per la competitività del Paese e per tutelare i diritti del consumatore. Si tratta di un principio… Leggi Tutto

Spamming: reato?

Dal primo gennaio 2004 entrerà in vigore il Codice di protezione dei dati personali: il Codice garantisce che il trattamento dei dati personali si svolga… Leggi Tutto

Privacy e sanità: le regole del dossier sanitario elettronico

La corsa alla digitalizzazione è da tempo scattata – almeno formalmente – anche in ambito sanitario. Tuttavia nonostante gli sforzi per dotare il sistema di… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.