Privacy Shield, il trasferimento dati negli Stati Uniti è sempre illecito?

30/11/2020
di Valentina Frediani

Articolo Pubblicato da IOTtoday il 27 Novembre 2020

L’avv. Valentina Frediani di Colin & Partners Srl parla di come il Privacy Shield sia cambiato e cosa accade nel mondo dell’IoT, e non solo

La Corte di giustizia dell’Unione europea lo scorso 16 luglio 2020 ha dichiarato non validi i trasferimenti dei dati tra l’Unione europea e gli Stati Uniti invalidando la decisione di adeguatezza del Privacy Shield, adottata nel 2016 dalla Commissione europea in seguito alla decadenza dell’accordo Safe Harbor. La Corte, infatti, ha ritenuto che i requisiti del diritto interno degli Stati Uniti comportino limitazioni alla protezione dei dati personali e siano incompatibili con i principi stabiliti dal nostro Regolemento Europeo per la protezione dei dati personali, potendo le autorità pubbliche degli Stati Uniti accedere per fini connessi alla sicurezza nazionale ai dati personali trasferiti dall’UE, senza alcun tipo di garanzia per gli interessati.

Questa sentenza (denominata Schrems II, nominativo del ricorrente) ha provocato e provoca forti impatti anche sul mondo IoT. La sentenza infatti rende illeciti i trasferimenti effettuati anche all’interno di sistemi informativi propri delle multinazionali (che hanno sedi tra USA ed Europa e trasferiscono dati verso la prima) nonché il ricorso a servizi erogati da aziende con sede o comunque allocazione dei dati negli USA stessi.

A fronte di tale pronuncia, il 10 novembre 2020 è stata emessa dal Comitato Europeo per la protezione dei dati (EDPB) la Raccomandazione 1/2020 che suggerisce per le aziende europee degli step da porre in essere per valutare la conformità dei trattamenti e se poter continuare a trasferire i dati individuando anche misure supplementari sia di natura tecnica, che organizzativa che contrattuale.

Le aziende che quindi stanno usufruendo di servizi esternalizzati o comunque stanno trasferendo dati verso gli USA dovranno ben conoscere la Raccomandazione e fare le valutazioni indicate in quanto potrebbero rischiare sia un blocco dei dati che sanzioni. Ma occorre applicare ragionevolezza e capire praticamente quali sono le azioni da intraprendere.

GUARDA IL VIDEO

 

Innanzi tutto è essenziale capire quali trattamenti costituiscono oggetto di trasferimento. In particolare se dai contratti stipulati per allocare i nostri dati ed usufruire magari di servizi connessi alla gestione e valutazione del dato, vi sono dei trasferimenti verso gli USA. Ovviamente stiamo parlando di trasferimenti che abbiano ad oggetto dati personali quindi dati collegati a dipendenti, fornitori piuttosto che clienti. Non prendiamo in considerazione i soli dati legati alla produzione se non sono associati a dati personali, perché la sentenza si applica solo a dati facenti riferimento a persone fisiche (nome, cognome, dati sanitari, ecc.).

Una volta verificata la sussistenza dovremmo capire se siamo in grado come azienda che li “esporta” verso sistemi statunitensi, di applicare la crittografia cosiddetta forte piuttosto che pseudonimizzazione (laddove le informazioni aggiuntive necessarie per risalire a persone fisiche identificabili siano in esclusivo possesso del Titolare ed eventuali autorità pubbliche del Paese destinatario non abbiano informazioni tali da consentire detta identificazione). Si pensi all’ipotesi di dati di produzione connessi ad operatori attivi sui macchinari, dove il dato trasferito sia un codice identificativo del lavoratore in possesso esclusivamente del Titolare.

Occorrerà anche predisporre misure organizzative ovvero misure che possano consistere in politiche interne, metodo organizzativi e standard  da poter imporre ai destinatari dei dati per poter garantire la protezione dei dati, e redigere contratti che prevedano specifiche sulle responsabilità di protezione ed accesso ai dati stessi. È opportuno essere chiari: è ovvio che per le aziende europee che hanno attualmente in essere contratti e relazioni attive con gli USA è impensabile da un giorno all’altro come pretenderebbe la sentenza Schrems, di bloccare il trasferimento dei dati.

Per cui occorre, in un’ottica di gestione del rischio, seguire gli step di analisi indicati dalla Raccomandazione ma soprattutto valutare i prossimi progetti che includano un trasferimento del genere alla luce delle misure tecniche indicate dalla Commissione europea. Le garanzie tecniche ed organizzative come descritte nella Raccomandazione divengono difatti un “check” preselettivo del Fornitore nel momento in cui si vadano ad avviare nuovi progetti. Ciò sia alla luce di un futuro investimento che partirebbe già sanzionabile, sia alla luce dei rischi connessi ai dati stessi ed alle responsabilità del Titolare verso quei soggetti a cui i dati fanno riferimento, perchè potrebbero avanzare richieste risarcitorie al Titolare non adeguatosi alle norme vigenti.

Vuoi saperne di più?

L’Avvocato Giulia Rizza ha analizzato e sintetizzato, in un White Paper, i punti salienti della Raccomandazione.

Per ricevere, gratuitamente, il nostro White Paper scrivi a comunicazione@consulentelegaleinformatico.it

 

Riproduzione riservata ©

ALTRE NEWS

Il canale podcast di Colin sugli aspetti legali delle nuove tecnologie

Ci sono gli avvocati e ci sono gli informatici. Noi racchiudiamo entrambe le competenze e aiutiamo chi si occupa di tecnologia nelle aziende e negli… Leggi Tutto

Controlli e applicazione delle disposizioni sanzionatorie dopo l’entrata in vigore del D. Lgs 101/18

Il nostro sistema normativo attuale presenta non poche complessità. Da una parte il GDPR (punto di riferimento principale) e, da pochi giorni in vigore, il… Leggi Tutto

Il Garante avvia la consulatzione per un “Provvedimento generale in materia di chiamate mute”

Fastidiose e lesive della privacy, oltre che allarmanti per alcuni, le cosiddette “chiamate mute” stanno diventanto abitudine sempre più diffusa. Per questo il Garante per… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.