Trasferimento di dati personali extra UE più rischioso dopo la Sentenza CGUE
La Sentenza “Schrems II”, resa dalla CGUE il 16 luglio scorso nell’ambito del procedimento C-311/18, ha invalidato la Decisione di adeguatezza del “Privacy Shield”, lo “scudo” che forniva una copertura di legittimità ai trasferimenti di dati personali dall’UE verso gli USA, adottata dalla Commissione UE nel 2016.
Al contempo, la Corte ha però riconosciuto piena validità alla Decisione 2010/87 della Commissione UE, relativa alle clausole contrattuali standard per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi. Ciò ha indotto molti operatori a ritenere che sia sufficiente far uso di tali clausole per effettuare trasferimenti di dati compliant con i criteri della Sentenza “Schrems II”. Così non è, perché la Sentenza “Schrems II” della CGUE valorizza l’accountability delle imprese e pone in capo ad esse l’onere di valutare autonomamente (sulla base delle clausole contrattuali standard) la presenza dei presupposti per un trasferimento legittimo di dati al di fuori dello Spazio Economico Europeo.
Dotarsi di una metodologia utile a valutare la conformità del trasferimento di dati personali ai criteri del nuovo arresto giurisprudenziale assume ora una rilevanza prioritaria in ottica GDPR.
La sottovalutazione dei rischi scaturenti dalla sentenza può essere molto pericolosa, sotto vari profili. Molte imprese utilizzano, ad esempio, cookies di Facebook sui propri siti per finalità commerciali, il che implica il trattamento di dati che vanno a convergere su server extra-UE. Quante di loro hanno provveduto perlomeno a verificare, ed eventualmente ad aggiornare, la propria informativa sui cookies alla luce della Sentenza? Se non addirittura ad interrogarsi sulla stessa opportunità di proseguire nel loro utilizzo?
La situazione sul fronte reclami sta diventando, intanto, esplosiva. Le Autorità Nazionali per la Protezione dei Dati hanno ricevuto, da luglio alla metà di settembre, più di cento reclami aventi ad oggetto trasferimenti di dati extra UE asseritamente non conformi al GDPR, e l’European Data Protection Board ha creato un’apposita task force interna, cui è stato affidato il compito di esaminare tali istanze e di fornire, a titolari e responsabili del trattamento, indicazioni per la messa a punto di misure di salvaguardia supplementari di natura giuridica, tecnica e organizzativa in caso di trasferimento di dati extra UE.
Tali indicazioni andranno ad aggiungersi alle FAQ già pubblicate dall’EDPB subito dopo la sentenza e il loro obiettivo sarà quello di soddisfare il requisito della «equivalenza sostanziale» nel trasferimento di dati personali verso Paesi terzi (come affermato dal comunicato stampa dell’EDPB redatto a conclusione della 37ma sessione plenaria del 4 settembre scorso).
Il trasferimento dei dati verso Paesi terzi costituirà oggetto di approfondito esame nell’apposito webinar di Paradigma del 13 ottobre prossimo, nel quale si cercherà di fornire agli operatori indicazioni utili ad approcciare i molti problemi pratici che l’attuale situazione di incertezza in tale ambito sta creando.
Come affermato dallo stesso Presidente dell’EDPB, la recente Sentenza CGUE “(…) ha implicazioni di ampia portata e i contesti dei trasferimenti di dati verso paesi terzi sono molto diversi. Pertanto, non si può pensare a una soluzione unica e di immediata applicazione. Ciascun titolare o responsabile dovrà valutare i trattamenti svolti e i relativi trasferimenti, adottando le misure opportune”.
Potrebbe interessare anche
Data breach: il Garante Privacy sanziona un primario istituto bancario e un suo fornitore IT
12 Marzo 2024
Videosorveglianza “intelligente”, arriva la sanzione del Garante
30 Gennaio 2024