fbpx
LinkedIn
iMSWeb
+39 0854225602
info@wiseconsulting.it

Invalido il cd. “Privacy Shield”

A cura dell’Avv. Andrea D’Amico

C-311-18 (Schrems-Facebook)

Con decisione del 16.7.2020 in C-311/18 (“Schrems II”), che si allega, la Corte di Giustizia dell’Unione Europea ha dichiarato che gli U.S.A. non offrono un livello di tutela dei dati personali adeguato agli standard del Regolamento U.E. n. 679/2016 (“GDPR”) e, per l’effetto, ha dichiarato invalido il cd. “Privacy Shield (Decisione di esecuzione della Commissione U.E. n. 1250/2016).

La decisione della C.G.U.E. ha interessato anche le cd. “clausole contrattuali standard” di cui alla decisione della Commissione U.E. n. 87/2010 (un esempio concreto dell’operare di tali clausole puoi trovarlo nella nomina standard a sub-responsabile del trattamento che abbiamo rilasciato a suo tempo e che qui ti alleghiamo per Tua comodità): dette clausole sono state, in sé, ritenute valide, fermo il dovere sia del soggetto che trasferisce dati personali extra U.E. che del destinatario extra U.E. di verificare che le circostanze del caso concreto siano tali da consentire una tutela adeguata, e, ove così non fosse, di sospendere il trasferimento (anche alla luce di ciò è verosimile che dette clausole verranno integrate dalla Commissione e/o dai titolari).

La pronuncia succitata sembra poter avere, quantomeno, le seguenti ricadute pratiche (che si enunciano senza pretesa di esaustività e con riserva di integrazioni e/o modifiche a valle di una rilettura “a freddo” del testo della sentenza):

  • allo stato il trasferimento di dati personali verso gli U.S.A. appare possibile solo al ricorrere di una delle ipotesi di cui all’art. 49 GDPR, tra cui è possibile citare, in particolare, le seguenti:
    1. l’interessato ha rilasciato un espresso consenso al trasferimento;
    2. il trasferimento è necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare;
    3. il trasferimento è necessario per la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato;
    4. il trasferimento è necessario ai fini del perseguimento degli interessi legittimi cogenti del titolare, su cui non prevalgano gli interessi o i diritti e le libertà dell’interessato, previa comunicazione del trasferimento all’autorità di controllo;
  • è verosimile che l’U.E. e/o i singoli Stati membri provvedano a stretto giro alla stipula di accordi bi/multilaterali per il superamento della situazione di stallo creatasi (cosa di cui Vi terremo informati);
  • è verosimile, altresì, che nei prossimi giorni l’European Data Protection Board di cui agli artt. 68 e ss. GDPR vorrà adottare delle proprie linee-guida al fine di traghettare gli operatori lungo questo delicato periodo di transizione (di ciò Vi terremo debitamente informati, auspicando che il Garante italiano voglia esso stesso attivarsi in prima persona fornendo proprie indicazioni);
  • per tutti i soggetti che si avvalgono direttamente o indirettamente di fornitori con sede e/o stabilimenti negli U.S.A. (si pensi, in particolare, ai cloud provider) è consigliabile, inter alia:
    1. sospendere qualsivoglia trasferimento di dati personali negli U.S.A., salvo ricorra una delle circostanze di cui all’art. 49 GDPR;
    2. monitorare attentamente i rapporti con i propri fornitori, onde individuare coloro che effettuano e/o possono effettuare – anche indirettamente tramite propri subfornitori – un trasferimento di dati personali negli U.S.A.;
    3. contattare immediatamente i succitati fornitori al fine di: (i) diffidarli dal trasferire dati personali negli U.S.A.; (ii) intimargli di voler riportare intra U.E., restituire o cancellare, se del caso, eventuali dati personali già trasferiti negli U.S.A.; e (iii) intimargli di voler confermare per iscritto di non aver trasferito nessun dato personale negli U.S.A. e/o di aver eseguito l’ordine di rientro, restituzione o cancellazione succitato;
    4. (qualora il soggetto operi non in qualità di titolare, ma di responsabile o di sub-responsabile) prendere immediatamente contatto con il titolare e/o con il responsabile e/o sub-responsabile immediatamente sovraordinato al fine di: (i) informarlo del contenuto della sentenza Schrems II della C.G.U.E. e delle relative conseguenze; e (ii) invitarlo a rilasciare apposite istruzioni in proposito;
    5. (qualora il soggetto operi in qualità di titolare) valutare se sottoporre agli interessati una apposita richiesta di consenso al trasferimento di dati personali negli U.S.A., previo rilascio di idonea informativa (in cui citare – non potrebbe essere altrimenti – anche il contenuto della pronuncia Schrems II della C.G.U.E.;
    6. analizzare la modulistica ad oggi impiegata (in particolare: informative e atti di nomina a responsabile del trattamento) onde apportare le variazioni del caso.
Menu
0
    0
    Il tuo carrello
    Il tuo carrello è vuotoRitorna al negozio
    Continua gli acquisti
    Notice: Trying to access array offset on value of type int in /web/htdocs/www.wiseformazione.it/home/wp-content/plugins/side-cart-woocommerce/templates/global/footer/buttons.php on line 32

    Notice: Trying to access array offset on value of type int in /web/htdocs/www.wiseformazione.it/home/wp-content/plugins/side-cart-woocommerce/templates/global/footer/buttons.php on line 32