COSA CAMBIA?

La Corte di giustizia Ue manda in pensione il Privacy Shield. Cosa cambia per trasferire i dati negli Usa?

di Luigi Garofalo e Paolo Anastasio |

Maximillian Schrems vince di nuovo: invalido, l'accordo che regolamenta il trasferimento di dati tra Ue e USA. Nadia Arnaboldi, responsabile internazionale di Asso Dpo: 'Con la sentenza ruolo chiave dei Data protection officer'.

La Corte di giustizia dell’Unione europea ha dichiarato invalido il Privacy Shield, l’accordo che regolamenta il trasferimento di dati tra Unione europea e USA, perché non protegge a sufficienza il diritto alla riservatezza dei dati personali dei cittadini Ue trasferiti negli Usa. La decisione giunge con la sentenza sul caso Maximilian Schrems e Facebook Ireland.

Di fatto è un’altra vittoria del 32enne austriaco (che ha festeggiato stappando una bottiglia), che grazie alle sue battaglia legali dal 2013 è riuscito prima a far dichiarare non valido il Safe Harbor (il precedente accordo transatlantico per disciplinare lo standard americano ed europeo per la trasmissione e la conservazione dei dati dei cittadini), ed oggi il Privacy Shield.  

Cosa cambia ora per il trasferimento dei dati dei cittadini ed aziende Ue verso gli Usa? Le aziende statunitense dovrebbero firmare le privacy policy standard? Servirebbe un altro accordo tra l’Ue e gli Usa per disciplinare il trasferimento dei dati? Con la sentenza di oggi non esiste un accordo valido.

La sentenza potrebbe bloccare il trasferimento di dati dall’Ue agli Usa creando diversi problemi all’attività di colossi come Apple, Google e Facebook ma anche di migliaia di imprese più piccole che lavorano con trasferimento di dati?

Non interruzione immediata del trasferimento dati da Ue in Usa

La sentenza non significa tout court l’interruzione immediata della gestione negli Usa delle informazioni personali di centinaia di milioni di cittadini della Ue, ancora possibile per effetto di altre clausole contrattuali. Infatti con la stessa sentenza la Corte di giustizia Ue ha ritenuto valide le clausole contrattuali tipo (Standard Contractual Clauses – SCCs) per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi. E, ad esempio, dopo l’abolizione del Safe Harbor Facebook ha continuato a trasferire i dati degli utenti europei dai server in Irlanda a quelli negli Stati Uniti secondo proprio le nuove regole europee chiamate Standard Contractual Clauses (SCCs).

Ma la sentenza precisa anche che le imprese devono verificare se il contesto generale del trasferimento (compreso il Paese di destinazione) offre garanzie adeguate ai dati personali degli individui e ha chiesto alle autorità privacy dei Paesi UE di sospendere o vietare i trasferimenti dei dati extra EU laddove tali garanzie adeguate non possano essere fornite.

Usa: “Profondamente delusi da sentenza Corte Ue”

Gli Usa si sono detti “profondamente delusi” per la decisione della Corte Ue che ha invalidato il Privacy Shield. “Stiamo studiando la decisione per comprenderne appieno l’impatto pratico”, ha dichiarato il segretario Usa al Commercio Wilbur Ross. “Resteremo in stretto contatto con la Commissione Ue – ha aggiunto -. Speriamo di limitare le conseguenze negative per le relazioni economiche transatlantiche pari a 7,1 trilioni di dollari che sono così vitali per i nostri rispettivi cittadini, aziende e governi“, ha concluso.

Il Commissario europeo alla Giustizia, Didier Reynders: “

 “Mio dovere è assicurare il rispetto dello stato di diritto, nonché la protezione dei dati dei cittadini europei. Faremo tutto quello che e’ necessario per rispettare la decisione della Corte europea di Giustizia su ‘Facebook Ireland e Schrems’. Il rispetto dello stato di diritto non è limitato a Bruxelles o a una parte dell’Atlantico. C’è un impegno condiviso con la nostra controparte americana affinche’ lo stato di diritto venga rispettato e che i diritti fondamentali dei cittadini vengano protetti, perche’ si tratta di valori chiave in tutte le società democratiche”.

Lo ha detto il commissario europeo alla Giustizia, Didier Reynders, sulla sentenza della Corte sulla protezione dei dati a livello internazionale, aggiungendo che “abbiamo bisogno di tempo per analizzare approfonditamente la decisione della Corte e valutare attentamente le sue implicazioni. Intanto, accolgo con favore che la Corte abbia confermato la validità delle Standard Contractual Clauses (Scc)”.

Nadia Arnaboldi responsabile internazionale di ASSODPO: ‘Con sentenza di oggi emerge ruolo chiave dei DPO’

Il commento alla sentenza della Corte di Giustizia europea da parte di Nadia Arnaboldi, responsabile internazionale di Asso Dpo:

Con sentenza odierna c.d. Schrems II la Corte di Giustizia UE ha giudicato valida la decisione della Commissione Europea 2010/87 relativa alle clausole contrattuali standard per il trasferimento dei dati ed al contempo invalidato l’accordo Privacy Shield per il trasferimento dei dati personali dall’UE verso gli USA, peraltro criticato fin dall’inizio sia dal Gruppo di Lavoro Articolo 29 e successivamente dal Comitato Europeo per la protezione dei dati.

Si ripresenta, pertanto, lo scenario già vissuto nell’ottobre 2015 quando la stessa Corte aveva invalidato l’accordo Safe Harbor UE-US. In attesa di indicazioni da parte del Comitato Europeo sulla protezione dei dati e delle Autorità di Controllo, è necessario verificare i trasferimenti di dati personali verso gli USA basati sul Privacy Shield, illeciti alla luce dell’odierna sentenza, ed adottare le clausole contrattuali standard che permangono valide, salvo l’adozione delle altre modalità per il trasferimento dei dati lecite previste dal GDPR.

La sentenza attribuisce, inoltre, alle autorità di controllo la verifica del lecito trasferimento dei dati con il potere di sospenderlo o vietarlo se ritiene che le clausole contrattuali standard non siano o non possano essere rispettate nel paese dell’importatore.

In tale scenario assume un ruolo chiave il DPO che dovrà informare il titolare del trattamento e sorvegliare le azioni attuate per consentire un lecito trasferimento dei dati e che non si limitano all’adozione delle clausole contrattuali standard, ma si estendono a tutta la correlata compliance in materia di protezione dei dati (dalle basi giuridiche all’aggiornamento del registro delle attività di trattamento). La violazione delle disposizioni in materia di trasferimento dei dati personali è sanzionata ex art. 83, par. 5 del GDPR (fino a 20 milioni o il 4% del fatturato totale mondiale totale annuo dell’esercizio precedente).

Per approfondire: