Data protection

Comunicazione in merito alla sentenza della Corte di Giustizia Europea che dichiara invalida la decisione 2016/1250 della Commissione sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (Privacy-Shield) – Trasferimento dati tra Unione Europea e Stati Uniti. Parere del D.P.O.

La Corte di Giustizia Europea con la sentenza nella causa C-311/18 (c.d. Shrems II) del 16 luglio 2020, ha dichiarato invalida la decisione 2016/1250 della Commissione sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (c.d. Privacy Shield).

Secondo quanto previsto dal Regolamento Generale sulla Protezione dei Dati (di seguito “GDPR”) il trasferimento di dati personali verso un Paese terzo (in questo caso gli USA) può avvenire, in linea di principio, solo se il Paese terzo considerato garantisce a tali dati un adeguato livello di protezione. Secondo il GDPR, la Commissione Europea ha il potere di verificare che, grazie alla sua legislazione nazionale o ad impegni internazionali, il Paese terzo destinatario dei dati assicura un livello di protezione adeguato. In mancanza di una decisione di adeguatezza, le deroghe previste dall’art. 49 del GDPR non risultano essere applicabili per cui un trasferimento di dati personali può essere effettuato solo se il soggetto che comunica i dati, stabilito nell’Unione, preveda garanzie adeguate, le quali possano risultare, in particolare, da clausole tipo (c.d. CCS – Clausole Contrattuali Standard) di protezione dei dati adottate dalla Commissione, e se gli interessati dispongano di diritti azionabili e di mezzi di ricorso effettivi nel paese terzo.

Per tale motivazione, considerato che il Privacy Shield costituisce decisione di adeguatezza verso gli USA e considerando che tale accordo è stato dichiarato invalido, è necessario procedere con una revisione degli accordi con i fornitori (Responsabili del Trattamento) e con i soggetti convenzionati al fine di verificare se tra i paesi destinatari di dati personali (in maniera diretta o indiretta) figurino gli USA e quale sia la modalità normativa concordata per il trasferimento dei dati (se si basi o meno sul c.d. Privacy Shield o su Clausole Contrattuali Standard – decisione 2010/87). Gli ambiti interessati dalla decisione della Corte Europea sono costituiti – per quanto di interesse in questa sede – da contratti di fornitura di servizi, da convenzioni, da studi clinici, da partnership a vario titolo la cui esecuzione comporti il trasferimento di dati personali negli USA da parte di uno o più interlocutori appartenenti alla catena di fornitura.

Da considerare inoltre che, in base alla FAQ n.5 dell’European Data Protection Board ( “EDPB”) del 23 luglio 2020, al fine di non dover sospendere i trattamenti che prevedano il trasferimento di dati negli USA è necessario procedere con una valutazione di impatto sulla protezione dei dati personali (Data Protection Impact Assessment – DPIA) per ognuno di tali trattamenti al fine di poter valutare ed adottare eventuali misure integrative. Alla luce della sentenza in oggetto, considerando che, “le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autorità statunitensi, dei dati trasferiti dall’Unione verso tale Paese terzo, e che sono state valutate dalla Commissione nella decisione 2016/1250, non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dal principio di proporzionalità”, l’esito della valutazione dovrà essere notificato al Garante Privacy (Authority Nazionale) al fine di poter ricevere indicazioni finalizzate all’individuazione di misure di sicurezza e cautele tali da poter garantire un trasferimento di dati personali adeguato.

Nell’attesa di ricevere da parte delle autorità garanti europee e nazionale delle indicazioni più precise sulle modalità di risoluzione della problematica, si consiglia di procedere nel seguente modo:

  • Sospendere i trasferimenti di dati personali attualmente previsti da contratti di fornitura, convenzioni, studi clinici e partnership a vario titolo;
  • Verificare che eventuali nuovi trattamenti (es.: legati a nuove iniziative) non prevedano trasferimenti di dati negli USA.

Nel caso in cui nei sopra indicati trattamenti risultino essere indispensabili i trasferimenti di dati negli USA, è necessario procedere con specifiche valutazioni di impatto sulla protezione dei dati (DPIA), la cui esecuzione deve essere pianificata e concordata con l’Ufficio Privacy/Protezione Dati e con adeguato e indispensabile supporto da parte delle Unità Operative competenti, chiamate a fornire tutta la documentazione del caso (delibere, Convenzioni, Contratti, ecc.). Deve essere considerato inoltre che le risultanze di tali valutazioni dovranno essere comunicate al Garante per la Protezione dei Dati Personali ed attendere le sue valutazioni, nei termini previsti dall’art. 36.2 del GDPR, prima di poter procedere con la ripresa delle singole attività di trasferimento dati.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

cyber security
conservazione dei documenti informatici

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

ChatGPT
Il Garante infligge una multa da 15 milioni di euro ad OpenAI per violazione della privacy di ChatGPT
1 Febbraio 2025
accesso ai dati personali
Accesso ai dati personali della cartella clinica; le FAQ del Garante.
2 Gennaio 2025
concorsi pubblici
La pubblicazione delle graduatorie dei concorsi pubblici
27 Giugno 2024

Start typing and press Enter to search