[...] il problema dell’accordo Safe Harbor che si era cercato di superare proprio con il Privacy Shield si è ripresentato: la Corte di Giustizia ha infatti sottolineato che la normativa in materia di sicurezza nazionale e interesse pubblico statunitensi risultano sovraordinate e pertanto giustificano ogni eventuale interferenza, da parte delle forze dell’ordine americane, sui diritti fondamentali delle persone i cui dati personali sono trasferiti negli USA [...]
La sentenza 311/18 emessa dalla Corte di Giustizia UE (CGUE) interviene sul trasferimento di dati personali tra Unione Europea e Stati Uniti smontando gran parte delle fondamenta del Privacy Shield, cioè dell’accordo tra Europa e USA sulle modalità di trattamento dei dati e sulle eventuali ingerenze e controlli dell’Amministrazione americana (come fece già con il precedente accordo internazionale Safe Harbor).
In che modo la decisione della Corte incide sull’attività imprenditoriale e professionale italiana?
Prima di tutto, il venir meno del Privacy Shield comporta maggiori difficoltà (dal punto di vista della legittimità) nel trasferire dati personali tra imprese al di qua e al di là dell’Atlantico. Si stima infatti che siano più di 5.000 le aziende che hanno fatto ricorso al Privacy Shield. Aziende che attualmente si trovano senza un’adeguata base giuridica del trattamento.
In secondo luogo ci saranno maggiori difficoltà a interagire con le grandi tech company, quali Facebook, Google ecc. le cui clausole contrattuali (soprattutto per i profili free) non indicano in maniera specifica il luogo di conservazione dei dati.Privacy Shield
Sinteticamente, possiamo definire il Privacy Shield un accordo internazionale a mezzo del quale l’azienda, attraverso una procedura di autocertificazione (sulla base di un preciso framework condiviso), dichiara che il trattamento dei dati presso gli uffici e/o stabilimenti negli Stati Uniti sono svolti in conformità del GDPR.
Tuttavia, il problema dell’accordo Safe Harbor che si era cercato di superare proprio con il Privacy Shield si è ripresentato: la Corte di Giustizia ha infatti sottolineato che la normativa in materia di sicurezza nazionale e interesse pubblico statunitensi risultano sovraordinate e pertanto giustificano ogni eventuale interferenza, da parte delle forze dell’ordine americane, sui diritti fondamentali delle persone i cui dati personali sono trasferiti negli USA.
Ad oggi, la possibilità di trasferire dati negli Stati Uniti e, più in generale, verso uno Stato Terzo passa necessariamente dalla responsabilizzazione dell’azienda esportatrice e quella del Paese esterno. Una responsabilizzazione che in conformità del GDPR può trovare la propria base giuridica su quattro ipotesi:
- Accordi di adeguatezza (come era il Privacy Shield);
- clausole standard - SCC (accordi contrattuali tra azienda esportatore e aziende con sede estera);
- norme vincolanti di impresa (per i gruppi societari);
- deroghe (consenso, contratto, interesse pubblico e diritto di difesa) previste dall’art. 49.
Dal punto di vista pratico, pertanto, le aziende che trasferiscono dati personali verso gli Stati Uniti dovranno fornire ulteriori garanzie, non potendo più basarsi sull’adesione al Privacy Shield. Dovranno fornire all’interessato una adeguata tutela, compreso un mezzo di ricorso efficace per la tutela dei diritti. La Corte sottolinea infatti che:
| "i cittadini dell’Unione non hanno accesso agli stessi mezzi di ricorso di cui dispongono i cittadini statunitensi contro i trattamenti di dati personali da parte delle autorità degli Stati Uniti, poiché il quarto emendamento della Costituzione degli Stati Uniti, che, nel diritto statunitense, costituisce la tutela più importante contro la sorveglianza illegale, è inapplicabile ai cittadini dell’Unione". |
Caso Schrems
Cosa si deve sapere
- Di solito, per trasferire al di fuori dell'UE i dati personali degli utenti dell’UE è necessario soddisfare le condizioni indicate negli articoli 44-50 del GDPR (se ad esempio salvi dati personali di cittadini dell'UE su un server negli Stati Uniti, dovrai basare questo trasferimento su uno dei meccanismi di conformità esistenti).
- Prima della sentenza sopracitata, le aziende statunitensi potevano aderire al Privacy Shield ed essere certificate come una destinazione sicura per i dati personali dell'UE. Una volta ricevuti i dati, tali aziende non avevano bisogno di alcuna autorizzazione specifica per questa attività.
- La Corte di Giustizia europea ha ora dichiarato invalido questo meccanismo. Questo significa che i trasferimenti che si basavano sul Privacy Shield devono rivolgersi altrove per essere conformi.
- Per rispettare la decisione della Corte fin da subito, necessario rivedere tutti i trasferimenti di dati che sono effettuati verso gli Stati Uniti e verificare se si basano sul Privacy Shield.
In caso affermativo, importante verificare se il titolare e/o responsabile del trattamento dell'azienda localizzata all'estero (paesi terzi) offre una base giuridica alternativa per giustificare il trasferimento dei dati, come ad esempio delle clausole contrattuali standard (art.46 del GDPR) integrate nel contratto o il consenso esplicito (ART.49 del GDPR).
Conclusione
Per concludere, occorrerà per le aziende, ma soprattutto per i consumatori, fare estrema attenzione al momento della sottoscrizione degli accordi di fornitura al fine di verificare che non inducano ad esprimere un consenso (più o meno evidente) al trasferimento verso il Paese terzo.
Ultima osservazione: la Corte di Giustizia con la propria decisione intende affermare un principio (corretto trattamento dei dati personali in relazione ai diritti fondamentali dell’individuo) che sta sempre più configurandosi come un diritto mondiale capace di incidere in maniera diretta nei rapporti politico-economici tra Stati.
[...] il problema dell’accordo Safe Harbor che si era cercato di superare proprio con il Privacy Shield si è ripresentato: la Corte di Giustizia ha infatti sottolineato che la normativa in materia di sicurezza nazionale e interesse pubblico statunitensi risultano sovraordinate e pertanto giustificano ogni eventuale interferenza, da parte delle forze dell’ordine americane, sui diritti fondamentali delle persone i cui dati personali sono trasferiti negli USA [...]
La sentenza 311/18 emessa dalla Corte di Giustizia UE (CGUE) interviene sul trasferimento di dati personali tra Unione Europea e Stati Uniti smontando gran parte delle fondamenta del Privacy Shield, cioè dell’accordo tra Europa e USA sulle modalità di trattamento dei dati e sulle eventuali ingerenze e controlli dell’Amministrazione americana (come fece già con il precedente accordo internazionale Safe Harbor).
In che modo la decisione della Corte incide sull’attività imprenditoriale e professionale italiana?
Prima di tutto, il venir meno del Privacy Shield comporta maggiori difficoltà (dal punto di vista della legittimità) nel trasferire dati personali tra imprese al di qua e al di là dell’Atlantico. Si stima infatti che siano più di 5.000 le aziende che hanno fatto ricorso al Privacy Shield. Aziende che attualmente si trovano senza un’adeguata base giuridica del trattamento.
In secondo luogo ci saranno maggiori difficoltà a interagire con le grandi tech company, quali Facebook, Google ecc. le cui clausole contrattuali (soprattutto per i profili free) non indicano in maniera specifica il luogo di conservazione dei dati.Privacy Shield
Sinteticamente, possiamo definire il Privacy Shield un accordo internazionale a mezzo del quale l’azienda, attraverso una procedura di autocertificazione (sulla base di un preciso framework condiviso), dichiara che il trattamento dei dati presso gli uffici e/o stabilimenti negli Stati Uniti sono svolti in conformità del GDPR.
Tuttavia, il problema dell’accordo Safe Harbor che si era cercato di superare proprio con il Privacy Shield si è ripresentato: la Corte di Giustizia ha infatti sottolineato che la normativa in materia di sicurezza nazionale e interesse pubblico statunitensi risultano sovraordinate e pertanto giustificano ogni eventuale interferenza, da parte delle forze dell’ordine americane, sui diritti fondamentali delle persone i cui dati personali sono trasferiti negli USA.
Ad oggi, la possibilità di trasferire dati negli Stati Uniti e, più in generale, verso uno Stato Terzo passa necessariamente dalla responsabilizzazione dell’azienda esportatrice e quella del Paese esterno. Una responsabilizzazione che in conformità del GDPR può trovare la propria base giuridica su quattro ipotesi:
- Accordi di adeguatezza (come era il Privacy Shield);
- clausole standard - SCC (accordi contrattuali tra azienda esportatore e aziende con sede estera);
- norme vincolanti di impresa (per i gruppi societari);
- deroghe (consenso, contratto, interesse pubblico e diritto di difesa) previste dall’art. 49.
Dal punto di vista pratico, pertanto, le aziende che trasferiscono dati personali verso gli Stati Uniti dovranno fornire ulteriori garanzie, non potendo più basarsi sull’adesione al Privacy Shield. Dovranno fornire all’interessato una adeguata tutela, compreso un mezzo di ricorso efficace per la tutela dei diritti. La Corte sottolinea infatti che:
| "i cittadini dell’Unione non hanno accesso agli stessi mezzi di ricorso di cui dispongono i cittadini statunitensi contro i trattamenti di dati personali da parte delle autorità degli Stati Uniti, poiché il quarto emendamento della Costituzione degli Stati Uniti, che, nel diritto statunitense, costituisce la tutela più importante contro la sorveglianza illegale, è inapplicabile ai cittadini dell’Unione". |
Caso Schrems
Cosa si deve sapere
- Di solito, per trasferire al di fuori dell'UE i dati personali degli utenti dell’UE è necessario soddisfare le condizioni indicate negli articoli 44-50 del GDPR (se ad esempio salvi dati personali di cittadini dell'UE su un server negli Stati Uniti, dovrai basare questo trasferimento su uno dei meccanismi di conformità esistenti).
- Prima della sentenza sopracitata, le aziende statunitensi potevano aderire al Privacy Shield ed essere certificate come una destinazione sicura per i dati personali dell'UE. Una volta ricevuti i dati, tali aziende non avevano bisogno di alcuna autorizzazione specifica per questa attività.
- La Corte di Giustizia europea ha ora dichiarato invalido questo meccanismo. Questo significa che i trasferimenti che si basavano sul Privacy Shield devono rivolgersi altrove per essere conformi.
- Per rispettare la decisione della Corte fin da subito, necessario rivedere tutti i trasferimenti di dati che sono effettuati verso gli Stati Uniti e verificare se si basano sul Privacy Shield.
In caso affermativo, importante verificare se il titolare e/o responsabile del trattamento dell'azienda localizzata all'estero (paesi terzi) offre una base giuridica alternativa per giustificare il trasferimento dei dati, come ad esempio delle clausole contrattuali standard (art.46 del GDPR) integrate nel contratto o il consenso esplicito (ART.49 del GDPR).
Conclusione
Per concludere, occorrerà per le aziende, ma soprattutto per i consumatori, fare estrema attenzione al momento della sottoscrizione degli accordi di fornitura al fine di verificare che non inducano ad esprimere un consenso (più o meno evidente) al trasferimento verso il Paese terzo.
Ultima osservazione: la Corte di Giustizia con la propria decisione intende affermare un principio (corretto trattamento dei dati personali in relazione ai diritti fondamentali dell’individuo) che sta sempre più configurandosi come un diritto mondiale capace di incidere in maniera diretta nei rapporti politico-economici tra Stati.
e trova la versione più adatta alle tue esigenze
