Trasferimenti dati USA non più legittimi con il Privacy Shield

15/09/2020
di Valentina Frediani

Dal Il Caffé Digitale (The Innovation Group)

La Corte di giustizia dell’Unione europea si è pronunciata lo scorso 16 luglio 2020  in merito al regime di trasferimento dei dati tra l’Unione europea e gli Stati Uniti invalidando la decisione di adeguatezza del Privacy Shield, adottata nel 2016 dalla Commissione europea in seguito alla decadenza dell’accordo Safe Harbor. Vediamo dunque cosa ha stabilito la Corte nella suddetta sentenza che cambia notevolmente il panorama giuridico inerente il trasferimento dei dati negli USA.

La Corte ha ritenuto che i requisiti del diritto interno degli Stati Uniti comportino limitazioni alla protezione dei dati personali che non consentano di ritenere i requisiti giuridici sussistenti in tale Paese equivalenti a quelli previsti in Europa. Difatti la Corte ritiene non in linea con la nostra legislazione europea, la possibilità per le autorità pubbliche degli Stati Uniti di accedere per fini connessi alla sicurezza nazionale ai dati personali trasferiti dall’UE, peraltro non riconoscendo agli interessati l’esercizio dei diritti in sede giudiziaria contro le autorità statunitensi. Alla luce di tale grado di ingerenza nei diritti fondamentali delle persone i cui dati sono trasferiti verso il suddetto paese terzo, la Corte ha dichiarato invalida la decisione sull’adeguatezza dello scudo per la privacy sino ad oggi sussistente (Privacy Shield). La sentenza ovviamente produce effetti di abnorme portata in particolare sui trattamenti oggetto di trasferimento alla data della pronuncia. Difatti, annullando la decisione relativa allo scudo per la privacy senza preservarne gli effetti, la Corte rende illegittimo qualsiasi trasferimento negli USA con effetto immediato salvo onerare il Titolare del trattamento di analizzare caso per caso le garanzie di trasferimento valutandone ogni singolo esito. Diviene dunque illegale ogni trasferimento basatosi sul Privacy Shield a prescindere pertanto da trasferimenti all’interno dello stesso gruppo (avendo applicato le cosiddette Binding Corporate Rules) o con soggetti terzi. Eseguita l’analisi caso per caso (tipologie di dati trasferiti, misure di sicurezza adottate, misure organizzative sussistenti, ecc.)  laddove si possa garantire che la normativa statunitense non interferisca con l’adeguato livello di protezione dovuto si potrà procedere con il trasferimento, altrimenti si dovrà provvedere ad interrompere immediatamente il trasferimento.

Ricordiamo che una alternativa è il trasferimento subordinato al consenso dell’interessato. Il consenso ovviamente deve essere esplicito, quindi riferito espressamente al particolare trasferimento o insieme di trasferimenti, ed informato, ovvero con idonea comunicazione circa i possibili rischi del trasferimento. Per quanto riguarda i trasferimenti necessari all’esecuzione di un contratto tra l’interessato e il titolare del trattamento, occorre tenere presente che i dati personali possono essere trasferiti solo laddove tale trasferimento sia oggettivamente necessario all’esecuzione del contratto. Infine, rispetto ai rapporti con soggetti pubblici, i trasferimenti possono avvenire non tanto per la qualifica del soggetto pubblico stesso ma solo laddove ricorrano motivi di interesse pubblico.

Insomma, la situazione si fa particolarmente complessa. Allo stato attuale è in corso l’analisi da parte del Comitato europeo per la protezione dei dati della sentenza della Corte per stabilire quali misure supplementari sia giuridiche, tecniche o organizzative possano considerarsi valide per effettuare il trasferimento.

Ricordiamo che qualora ci si avvalga di un Responsabile esterno che per lo svolgimento dell’attività di trasferimento dati di cui siamo Titolari negli USA, dovremo intervenire contrattualmente per validare la legittimità analizzato il caso di specie dovendo altrimenti risolvere il contratto per il venir meno dei presupposti giuridici di legittimità.

Sotto il profilo pratico i Titolari del trattamento dovranno dunque predisporre il blocco del trasferimento dei dati negli USA salvo una delle ipotesi succitate. E restiamo in attesa di comprendere quali indicazioni emergeranno dalla Commissione. Una attesa che può avere costi organizzativi molto alti per le imprese italiane o in alternativa costringere le stesse ad accollarsi dei rischi non calcolati al momento del trasferimento dei dati. Un cambio della situazione giuridica in corsa piuttosto “dannoso”.

Riproduzione riservata ©

ALTRE NEWS

Hard Brexit ed Estremo Oriente: la privacy per gli operatori economici

Importanti e sostanziali modifiche hanno investito l’atlante geografico della privacy nelle ultime settimane, ridefinendo i confini applicativi della normativa e gli strumenti a disposizione degli… Leggi Tutto

Privacy COVID-19: trattamento dati secondo il Protocollo 20 aprile 2020

Gli aspetti privacy nel trattamento dati legato al Covid-19 sono numerosi e complessi. Per limitare la diffusione del virus negli ambienti di lavoro, il 24 aprile… Leggi Tutto

Risoluzione delle Controversie tra gli Organismi di Telecomunicazioni

Il 28 marzo il Consiglio dell´Autorità per le Garanzie nelle Comunicazioni ha emesso la delibera n.148/01, recante l´adozione del regolamento concernente la risoluzione delle controversie… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.