Di recente, la Corte di giustizia dell’Unione Europea ha cassato il Privacy Shield e la sua validità per esportazioni dei dati negli Stati Uniti. Vediamo dunque cosa comporta per il trasferimento dei dati negli USA e in Paesi terzi.
Partiamo dal principio: che cos’era il Privacy Shield e cosa garantiva
Il Privacy Shield – ovvero lo “scudo per la privacy” tra UE e USA – era un meccanismo di autocertificazione per le società stabilite negli USA, che intendessero ricevere dati personali dall’Unione Europea.
Le società che aderivano al Privacy Shield, si impegnavano a rispettare i principi in esso contenuti e a fornire adeguati strumenti di tutela a tutti i soggetti i cui dati personali fossero stati trasferiti dall’UE – pena, l’eliminazione dalla lista delle società certificate “Privacy Shield List” (da parte del Dipartimento del Commercio statunitense) e possibili sanzioni (da parte della Federal Trade Commission).
Per quanto riguarda i trasferimenti di dati UE-USA, il Privacy Shield veniva considerato una base giuridica adeguata dalla Commissione Europea, in quanto sembrava offrire un buon livello di protezione dei dati personali trasferiti da un soggetto nell’UE ad una società stabilita negli USA che disponesse di tale autocertificazione.
Un nuovo livello di protezione
In una recente sentenza, la Corte di giustizia dell’Unione Europea ha espresso la necessità di garantire il rispetto di un livello maggiore di protezione – equivalente a quello garantito dal GDPR all’interno dell’Unione Europea – prevedendo la sospensione o il divieto dei trasferimenti di dati personali basati solo sul Privacy Shield, che di fatto, ad oggi, non è più una base giuridica adeguata!
Alla luce di tale aggiornamento, è dunque necessario verificare i trasferimenti di dati personali verso gli USA che, seppur basati sul Privacy Shield, risultano ora illeciti alla luce della recente sentenza della Corte di giustizia. Quindi, per poter trasferire (o continuare a farlo) i dati da UE a USA, tra le varie possibilità, rimane la strada al ricorso della base giuridica, che deriva dalle cosiddette clausole contrattuali standard (SCC), anche queste approvate dalla Commissione Europea.
Tuttavia, nello specifico, questo significa non soltanto adottare le clausole contrattuali standard, ma assicurare effettive misure di tutela e protezione anche a tutta la compliance correlata in materia di protezione dei dati: dalle basi giuridiche all’aggiornamento del registro delle attività di trattamento.
La violazione delle disposizioni in materia di trasferimento dei dati personali è sanzionata dall’art. 83, par. 5 del GDPR: fino a 20 milioni oppure il 4% del fatturato totale mondiale totale annuo dell’esercizio precedente.
La sentenza della Corte di giustizia, inoltre, assegna alle autorità di controllo la facoltà di verificare che il trasferimento dei dati avvenga in modo lecito. In caso le clausole contrattuali standard non siano o non possano essere rispettate nel Paese dell’importatore, le autorità di controllo hanno il potere di sospendere o vietare del tutto il trasferimento.
Sarà quindi compito del Data Protection Officer (DPO):
- informare il titolare del trattamento,
- sorvegliare le azioni attuate,
- consentire un trasferimento dei dati lecito.
Dubbi e risposte
Per chi vuole approfondire l’argomento, riportiamo qui alcune delle FAQ fornite dal Garante sulla sentenza della Corte di giustizia, relativa al Privacy Shield.
Trasferisco dati ad un importatore di dati statunitense, aderente al Privacy Shield. Cosa devo fare adesso?
I trasferimenti sulla base di tale quadro giuridico sono illegali. Qualora desideri continuare a trasferire i dati verso gli Stati Uniti, occorre verificare se ciò sia possibile alle condizioni di seguito indicate.
Mi avvalgo di clausole contrattuali standard (SCC) con un importatore di dati negli Stati Uniti. Cosa devo fare?
La Corte ha rilevato che la normativa degli Stati Uniti in merito alla protezione dei dati (Art. 702 della FISA ed EO 12333) non garantisce un livello di protezione sostanzialmente equivalente a quello previsto nell’Unione Europea dal GDPR. Dunque, la possibilità di trasferire o meno dati personali sulla base delle clausole contrattuali standard, dipende dall’esito della valutazione che si dovrà compiere, tenuto conto delle circostanze del trasferimento e delle misure supplementari eventualmente messe in atto.
Alla luce di un’analisi caso per caso delle circostanze del trasferimento, le SCC e le misure supplementari dovrebbero garantire che la normativa statunitense non interferisca con l’adeguato livello di protezione garantito dalle SCC e dalle misure supplementari stesse.
Se – tenuto conto delle circostanze del trasferimento e delle eventuali misure supplementari – si è giunti alla conclusione che non vi sarebbero adeguate garanzie, occorre sospendere o porre fine al trasferimento di dati personali. Se ciononostante si intende continuare a trasferire i dati, occorre informare l’Autorità di controllo competente.
Mi avvalgo di un Responsabile del trattamento che tratta dati per mio conto (essendo io il Titolare del trattamento). Come posso sapere se il mio Responsabile trasferisce i dati verso gli Stati Uniti o un Paese terzo?
Il contratto stipulato con il Responsabile – in conformità dell’Articolo 28, paragrafo 3 del GDPR – deve stabilire se i trasferimenti siano o meno autorizzati, tenendo presente che costituisce un trasferimento anche l’accesso ai dati effettuato a partire da un Paese terzo, ad esempio a fini amministrativi.
Occorre un’autorizzazione anche per consentire a un Responsabile di affidare a sub-responsabili del trattamento il trasferimento di dati verso Paesi terzi.
È necessario prestare particolare attenzione, perché numerose soluzioni informatiche possono comportare il trasferimento di dati personali verso un Paese terzo (ad esempio, a fini di conservazione o manutenzione).
Che cosa posso fare per continuare ad utilizzare i servizi del mio Responsabile del trattamento, se il contratto firmato a norma dell’Articolo 28, paragrafo 3 del GDPR indica che i dati possono essere trasferiti verso gli USA o un Paese terzo?
Nel caso in cui:
- è previsto che i dati siano trasferiti verso gli Stati Uniti;
- non possono essere introdotte misure supplementari per garantire che la normativa statunitense non incida sul livello di protezione equivalente a quello offerto nel SEE (Spazio Economico Europeo), assicurato dagli strumenti di trasferimento;
- non si applicano le deroghe di cui all’articolo 49 del GDPR;
l’unica soluzione è negoziare un emendamento o una clausola aggiuntiva al contratto, per vietare il trasferimento di dati verso gli USA.
In questo caso dunque, non solo la conservazione, ma anche la gestione dei dati dovrebbe avvenire in Paesi diversi dagli USA.
Per un ulteriore approfondimento, potete leggere tutte le FAQ del Garante a questo link: Domande frequenti sulla sentenza della Corte di giustizia dell’Unione europea nella causa C-311/18.
Hai bisogno di una consulenza in ambito privacy?
Contatta i nostri uffici! Puoi richiedere un appuntamento telefonico al numero 011 0122331 o scrivere via mail a info@spazio88.com
