Consigli pratici per la gestione del trasferimento dei dati dopo l’invalidamento del Privacy Shield

 

Privacy Shield invalidato
In data 16 luglio 2020 la Corte di Giustizia dell’Unione Europea ha invalidato la decisione di adeguatezza della Commissione UE sul cd. Privacy Shield relativa al trasferimento di dati tra l’Unione Europea e gli Stati Uniti (causa C‑311/18 “Schrems II”). Quindi, il Privacy Shield non può più costituire una valida base per il trasferimento di dati personali verso gli USA.

Considerazioni

  1. I trasferimenti dall’UE agli USA devono ora poggiarsi su una base legale diversa dal Privacy Shield;
  2. La Clausole contrattuali tipo rimangono, per il momento, in vigore e configurano un mezzo alternativo al Privacy Shield, allo stato, in linea di principio legittimo per trasferire i dati dall’UE agli USA;
  3. Attenzione, però perché permane la responsabilità dell’esportatore (Titolare del trattamento) di verificare che il Paese in cui è stabilito l’importatore permetta l’effettivo rispetto dei principi fondamentali UE e delle Clausole contrattuali tipo e di valutare gli eventuali rischi sui diritti e le libertà dei soggetti interessati, prima di procedere al trasferimento. D’altro canto, le Autorità di controllo potranno in ogni momento ordinare l’interruzione o la sospensione del trasferimento basato sulle Clausole contrattuali tipo, in caso ritengano che il Paese di destinazione dei dati non fornisca idonee garanzie di rispetto della legislazione in materia di protezione dei dati personali europea. Per tale ragione, non è da escludere che, in un futuro più o meno prossimo, alcune Autorità invalidino anche le Clausole contrattuali tipo utilizzate negli scambi con gli USA o con altri Paesi terzi, alla luce delle argomentazioni formulate dalla Corte di Giustizia UE. Sul punto si vedano per es. le posizioni particolarmente critiche dell’Autorità di BerlinoAmburgo e quella Olandese). ICO (l’Autorità britannica) ha invece pubblicato il seguente messaggio sul proprio sito: “We are currently reviewing our Privacy Shield guidance after the judgment issued by the European Court of Justice on Thursday 16 July 2020. If you are currently using Privacy Shield please continue to do so until new guidance becomes available. Please do not start to use Privacy Shield during this period.”

Cosa fare
Soggetti che agiscono come Titolari del trattamento
Occorre principalmente:

  1. Identificare i trasferimenti verso gli USA (es. dal Registro dei trattamenti ex art. 30 GDPR) e verificare la base legale: se questa è il Privacy Shield occorre individuare una nuova base giuridica (es., a mente di quanto sopra indicato, Clausole contrattuali tipo o, nei casi in cui eventualmente applicabili, una delle deroghe ex art. 49 GDPR, es. trasferimento di dati necessario all’esecuzione di un contratto di cui è parte l’interessato);
  2. Contattare i fornitori (Responsabili del trattamento) in maniera proattiva, per indicare che, nel caso i trattamenti a loro affidati comportino direttamente o a mezzo di sub-fornitori (sub-responsabili) trasferimenti verso gli USA fino ad ora regolati sulla base del Privacy Shield, occorrerà procedere all’individuazione di una nuova base giuridica (es., a mente di quanto sopra indicato, Clausole contrattuali tipo o, nei casi in cui eventualmente applicabili, una delle deroghe ex art. 49 GDPR, es. trasferimento di dati necessario all’esecuzione di un contratto di cui è parte l’interessato);
  3. Una volta completata la riorganizzazione dei trasferimenti verso gli USA su base giuridica diversa dal Privacy Shield, modificare coerentemente il Registro dei trattamenti (ex. art. 30 GDPR) e le informative rese ai sensi degli artt. 13-14 GDPR;
  4. Verificare e modificare coerentemente, più in generale, i riferimenti al Privacy Shield nella documentazione privacy del Titolare (es. policy, procedure, contratti etc.);
  5. Monitorare attentamente le attività delle Autorità di controllo competenti circa ulteriori interpretazioni e consigli pratici per allineare eventuali trasferimenti verso gli USA alla decisione della Corte di Giustizia dell’Unione Europea e più in generale alla normativa in materia di protezione dei dati personali applicabile (ad es. in caso di ulteriore invalidazione delle Clausole contrattuali tipo).

Soggetti che agiscono come Responsabili del trattamento
Occorre principalmente:

  1. Identificare i trasferimenti posti in essere direttamente o a mezzo di sub-fornitori (sub-responsabili) verso gli USA (es. dal Registro dei trattamenti Responsabile ex art. 30 GDPR) e verificarne la base legale: se questa è il Privacy Shield occorre concordare con il Titolare una nuova base giuridica (es., a mente di quanto sopra indicato, Clausole contrattuali tipo o, nei casi in cui eventualmente applicabili, una delle deroghe ex art. 49 GDPR, es. trasferimento di dati necessario all’esecuzione di un contratto di cui è parte l’interessato);
  2. Contattare i Titolari del trattamento in maniera proattiva per indicare che nel caso in cui i trattamenti affidati in qualità di Responsabili comportino direttamente o a mezzo di sub-fornitori (sub-responsabili) trasferimenti verso gli USA fino ad ora regolati sulla base del Privacy Shield occorrerà procedere all’individuazione di una nuova base giuridica (es., a mente di quanto sopra indicato, Clausole contrattuali tipo o, nei casi in cui eventualmente applicabili, una delle deroghe ex art. 49 GDPR, es. trasferimento di dati necessario all’esecuzione di un contratto di cui è parte l’interessato);
  3. Una volta completata la riorganizzazione dei trasferimenti verso gli USA su base giuridica diversa dal Privacy Shield, modificare coerentemente il Registro dei trattamenti Responsabile (ex. art. 30 GDPR);
  4. Verificare e modificare coerentemente i riferimenti al Privacy Shield nella documentazione privacy (es. nei contratti di trattamento dei dati “DPA” ex art. 28 GDPR).
  5. Monitorare attentamente le attività delle Autorità di controllo competenti circa ulteriori interpretazioni e consigli pratici per allineare eventuali trasferimenti verso gli USA alla decisione della Corte di Giustizia dell’Unione Europea e più in generale alla normativa in materia di protezione dei dati personali applicabile (ad es. in caso di ulteriore invalidazione delle Clausole contrattuali tipo).

Foto fi Paolo Balboni

Interessato alla
Masterclass?

Iscriviti

Potrebbe interessarti anche