Redazione
Sono migliaia le aziende che inviano i dati personali di cittadini europei fuori dai confini della UE. I requisiti privacy sono stati rafforzati nella UE e la Corte Europea esige che per i dati europei valgano requisiti equivalenti anche nei Paesi extra UE. Gli uffici dei Garanti dei diversi Paesi hanno proposto come le aziende devono comportarsi in caso di esportazione di dati personali al di fuori della UE.
L’esportazione di dati (digitali) delle persone che vivono in Europa verso paesi al di fuori della UE, diventa sempre più difficile. Così, se Facebook vuole trasferire, dati personali degli Europei, negli Stati Uniti, deve garantire che la protezione della privacy degli interessati sia comunque a livello europeo, durante tutto il processo: dal trasporto, all’archiviazione nonché per l’eventuale trattamento.
Questa decisione è stata adottata mercoledì scorso (11 novembre) da tutti i Garanti europei riuniti per la consueta riunione plenaria (EDPB, European Data Protection Board)(2).
L’ulteriore inasprimento dei requisiti di privacy è il risultato diretto della recente sentenza della Corte di Giustizia Europea in una causa contro Facebook, promossa dall’austriaco Max Schrems (cd. sentenza Schrems II)(3).
Infatti, la Corte ha stabilito che il Privacy Shield per gli USA è ormai uno strumento obsoleto. Parimenti superati – e fuori legge – sono da considerare anche la maggior parte dei contratti con clausole standard concordate ed incluse nel contratto stesso . Entrambi non soddisfano più i requisiti di privacy sempre più severi all’interno della UE, e stabiliti nel Regolamento Generale sulla Protezione dei Dati (GDPR) del maggio 2018.
Le raccomandazioni adottate dall’EDPB sono due. Non solo sono stati inaspriti i requisiti per la protezione dalla privacy anche per quanto riguarda l’accesso ai dati da parte dei servizi di intelligence (del Paese extra UE) – definiti ufficialmente “autorità governative” – a tutti i tipi di dati(4). L’accesso deve essere giustificabile e non contrario ai requisiti esistenti nel GDPR. Se i requisiti di accesso per i servizi di intelligence non sono pubblici o non sono liberamente interpretabili, in questi casi i requisiti europei rimangono la guida a cui fare riferimento.
La Presidente dell’EDPB Andrea Jelinek ha dichiarato che “Le nuove misure interessano tutti i paesi al di fuori della UE, e quindi non esiste una soluzione rapida o standard. Le aziende che esportano i dati devono valutare i loro processi attuali e adottare misure efficaci che siano anche in linea con la legislazione del Paese in cui vengono inviati i dati “. Jelinek ha promesso anche che le Autorità di Protezione dei Dati dei diversi Paesi monitoreranno attentamente gli sviluppi e gli adempimenti da parte delle aziende nei prossimi anni.
Nonostante queste raccomandazioni sembrino piuttosto astratte appare chiaro che le aziende che esportano dati al di fuori della UE si troveranno con una mole di lavoro non indifferente. Diversi operatori e consulenti sono favorevoli alle raccomandazioni dell’EDPB perché già si stava delineando una proliferazione di dichiarazioni diverse da parte dei Garanti Nazionali e, l’uniformità di direzione a livello europeo detta un’approccio univoco. Rimane aperta invece la valutazione del regime giuridico dei paesi terzi che è ancora lasciata al mercato. Ogni azienda che esporta dati non deve soltanto utilizzare gli strumenti di trasferimento contenuti nel GDPR ma deve anche valutare la misura in cui le leggi del paese di destinazione possono interferire con la protezione dei dati personali.
Per approfondimenti e riferimenti normativi, consultare i seguenti link:
(1) EDPB – Comunicato Stampa, 10 Novembre 2020