Privacy Shield, il trasferimento dati negli Stati Uniti è sempre illecito?

30/11/2020
di Valentina Frediani

Articolo Pubblicato da IOTtoday il 27 Novembre 2020

L’avv. Valentina Frediani di Colin & Partners Srl parla di come il Privacy Shield sia cambiato e cosa accade nel mondo dell’IoT, e non solo

La Corte di giustizia dell’Unione europea lo scorso 16 luglio 2020 ha dichiarato non validi i trasferimenti dei dati tra l’Unione europea e gli Stati Uniti invalidando la decisione di adeguatezza del Privacy Shield, adottata nel 2016 dalla Commissione europea in seguito alla decadenza dell’accordo Safe Harbor. La Corte, infatti, ha ritenuto che i requisiti del diritto interno degli Stati Uniti comportino limitazioni alla protezione dei dati personali e siano incompatibili con i principi stabiliti dal nostro Regolemento Europeo per la protezione dei dati personali, potendo le autorità pubbliche degli Stati Uniti accedere per fini connessi alla sicurezza nazionale ai dati personali trasferiti dall’UE, senza alcun tipo di garanzia per gli interessati.

Questa sentenza (denominata Schrems II, nominativo del ricorrente) ha provocato e provoca forti impatti anche sul mondo IoT. La sentenza infatti rende illeciti i trasferimenti effettuati anche all’interno di sistemi informativi propri delle multinazionali (che hanno sedi tra USA ed Europa e trasferiscono dati verso la prima) nonché il ricorso a servizi erogati da aziende con sede o comunque allocazione dei dati negli USA stessi.

A fronte di tale pronuncia, il 10 novembre 2020 è stata emessa dal Comitato Europeo per la protezione dei dati (EDPB) la Raccomandazione 1/2020 che suggerisce per le aziende europee degli step da porre in essere per valutare la conformità dei trattamenti e se poter continuare a trasferire i dati individuando anche misure supplementari sia di natura tecnica, che organizzativa che contrattuale.

Le aziende che quindi stanno usufruendo di servizi esternalizzati o comunque stanno trasferendo dati verso gli USA dovranno ben conoscere la Raccomandazione e fare le valutazioni indicate in quanto potrebbero rischiare sia un blocco dei dati che sanzioni. Ma occorre applicare ragionevolezza e capire praticamente quali sono le azioni da intraprendere.

GUARDA IL VIDEO

 

Innanzi tutto è essenziale capire quali trattamenti costituiscono oggetto di trasferimento. In particolare se dai contratti stipulati per allocare i nostri dati ed usufruire magari di servizi connessi alla gestione e valutazione del dato, vi sono dei trasferimenti verso gli USA. Ovviamente stiamo parlando di trasferimenti che abbiano ad oggetto dati personali quindi dati collegati a dipendenti, fornitori piuttosto che clienti. Non prendiamo in considerazione i soli dati legati alla produzione se non sono associati a dati personali, perché la sentenza si applica solo a dati facenti riferimento a persone fisiche (nome, cognome, dati sanitari, ecc.).

Una volta verificata la sussistenza dovremmo capire se siamo in grado come azienda che li “esporta” verso sistemi statunitensi, di applicare la crittografia cosiddetta forte piuttosto che pseudonimizzazione (laddove le informazioni aggiuntive necessarie per risalire a persone fisiche identificabili siano in esclusivo possesso del Titolare ed eventuali autorità pubbliche del Paese destinatario non abbiano informazioni tali da consentire detta identificazione). Si pensi all’ipotesi di dati di produzione connessi ad operatori attivi sui macchinari, dove il dato trasferito sia un codice identificativo del lavoratore in possesso esclusivamente del Titolare.

Occorrerà anche predisporre misure organizzative ovvero misure che possano consistere in politiche interne, metodo organizzativi e standard  da poter imporre ai destinatari dei dati per poter garantire la protezione dei dati, e redigere contratti che prevedano specifiche sulle responsabilità di protezione ed accesso ai dati stessi. È opportuno essere chiari: è ovvio che per le aziende europee che hanno attualmente in essere contratti e relazioni attive con gli USA è impensabile da un giorno all’altro come pretenderebbe la sentenza Schrems, di bloccare il trasferimento dei dati.

Per cui occorre, in un’ottica di gestione del rischio, seguire gli step di analisi indicati dalla Raccomandazione ma soprattutto valutare i prossimi progetti che includano un trasferimento del genere alla luce delle misure tecniche indicate dalla Commissione europea. Le garanzie tecniche ed organizzative come descritte nella Raccomandazione divengono difatti un “check” preselettivo del Fornitore nel momento in cui si vadano ad avviare nuovi progetti. Ciò sia alla luce di un futuro investimento che partirebbe già sanzionabile, sia alla luce dei rischi connessi ai dati stessi ed alle responsabilità del Titolare verso quei soggetti a cui i dati fanno riferimento, perchè potrebbero avanzare richieste risarcitorie al Titolare non adeguatosi alle norme vigenti.

Vuoi saperne di più?

L’Avvocato Giulia Rizza ha analizzato e sintetizzato, in un White Paper, i punti salienti della Raccomandazione.

Per ricevere, gratuitamente, il nostro White Paper scrivi a comunicazione@consulentelegaleinformatico.it

 

Riproduzione riservata ©

ALTRE NEWS

Marketing: “indicazioni per l’uso”

In seguito alle recenti modifiche normative intervenute in materia di privacy è d’obbligo far chiarezza in ordine agli adempimenti che occorre rispettare per poter svolgere… Leggi Tutto

La ‘dematerializzazione’ dei contratti assicurativi

Ancora aperta la consultazione pubblica sulla proposta di regolamento Ivass concernente la definizione delle misure di semplificazione delle procedure e degli adempimenti nei rapporti contrattuali… Leggi Tutto

Nuovo CAD: occasione per fare chiarezza

L’annuncio dell’avvenuta approvazione da parte del Consiglio dei Ministri, in esame preliminare, di 11 decreti attuativi della cd. Riforma della PA (L. 124/15), intervenuta il… Leggi Tutto

AziendaSpeech & Eventi

COLIN & PARTNERS

CHI SIAMO

Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI

Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE

Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.