Redazione
Il Comitato Europeo per la Protezione dei Dati (EDPB) ha fornito una serie di raccomandazioni per il trasferimento di dati personali a paesi terzi dopo la sentenza Schrems II. In particolare, si tratta di paesi in cui i dati personali sono meno protetti rispetto alla UE.
L’obiettivo è fare chiarezza per gli imprenditori, in seguito alla sentenza della Corte di Giustizia Europea (CGUE) che ha dichiarato la non validità dello scudo UE-USA per la privacy (Privacy Shield).
Il Privacy Shield erano gli accordi tra la UE e gli USA in base ai quali le società potevano trasferire i dati personali dall’Unione Europea agli Stati Uniti. La sentenza (Schrems II) della Corte di Giustizia Europea dello scorso luglio ha posto fine ai flussi di dati personali affermando che la protezione dei dati personali negli Stati Uniti è fortemente inadeguata, nonostante lo scudo per la privacy.
A luglio, la più alta Corte europea ha concluso con la sentenza Schrems II che la protezione dei dati personali negli Stati Uniti è gravemente inadeguata, nonostante lo scudo per la privacy ossia gli accordi tra la UE e gli Stati Uniti in base ai quali le società potevano trasferire i dati personali dalla UE agli USA. La sentenza del Tribunale ha posto fine al Privacy Shield.
Solo le organizzazioni che possono garantire che i dati saranno protetti a pari livello che nella UE, possono continuare a trasferire i dati personali negli Stati Uniti e negli altri paesi con i quali la UE non ha accordi (validi) sulla protezione dei dati personali.
MODELLI DI CONTRATTO
La soluzione più pratica per le aziende che intendono trasferire dati personali a paesi terzi è utilizzare contratti tipo (detti anche a clausole standard o SCC-Standard Contractual Clauses). È da notare che nella maggior parte dei casi, il contratto è consentito solo se una società adotta sufficienti misure aggiuntive per garantire la sicurezza del trasferimento.
LE RACCOMANDAZIONI DELL’EDPB
Per aiutare le aziende a garantire questa protezione, l‘EDPB ha fornito una serie di raccomandazioni sulle misure aggiuntive nel caso si utilizzino strumenti di trasferimento che comprendono anche contratti tipo.
L’EDPB elenca diverse misure aggiuntive che le aziende possono prendere in considerazione, come ad esempio buone crittografia e pseudonimizzazione. Le aziende dovranno valutare, caso per caso, quale misura o quale combinazione di misure è necessaria per proteggere adeguatamente i dati personali(1)(2).
Le raccomandazioni sono due:
- Raccomandazioni 01/2020 sulle misure che integrano gli strumenti di trasferimento per garantire il rispetto del livello di protezione dei dati personali dell’UE(1).
- Raccomandazioni 02/2020 sulle garanzie essenziali europee per le misure di sorveglianza(2) .
IN CASO DI DUBBI: CONSERVARE I DATI PERSONALI NELLA UE (EEA, European Economic Area)
Non è sempre possibile adottare misure aggiuntive che proteggano adeguatamente i dati personali. Alcuni Paesi hanno livelli insufficienti di protezione della privacy e di altri diritti fondamentali. Le società europee e i Garanti della Privacy europei hanno ben poca influenza su questi Paesi.
Se le aziende intendono archiviare i flussi di dati personali in paesi in cui i dati personali sono meno protetti, è comunque loro precisa responsabilità garantire che il livello di protezione sia sicuro quanto in Europa.
Nel caso che, dopo ulteriori indagini, permangano i dubbi sul livello di sicurezza del trasferimento di dati personali è meglio interrompere il trasferimento e non iniziare un nuovo trasferimento. E, quindi, mantenere i dati nella UE.
ISPEZIONE DA PARTE DEI SERVIZI DI SICUREZZA (SEGRETI) USA
Molte aziende archiviano i dati negli Stati Uniti. La CGUE ha specificatamente indicato gli USA come un paese in cui i dati personali non sono adeguatamente protetti. I servizi di sicurezza/segreti americani:
- possono accedere e utilizzare qualsiasi informazione personale archiviata su server che si trovano negli Stati Uniti e,
- possono intercettare i dati personali anche prima che arrivino negli Stati Uniti.
Per questo, non è possibile impedire ai servizi di sicurezza USA di accedere ai dati personali trasferiti negli Stati Uniti. La CGUE ha anche evidenziato che la tutela giuridica del giudice indipendente, negli USA, non è sufficientemente regolamentata.
Ben si comprende che è molto importante che gli Stati Uniti garantiscano una migliore protezione dei dati personali. Ora saranno il governo americano e la Commissione Europea a indagare se si può concludere un nuovo accordo che sostituisca il Privacy Shield.
REAZIONI E COMMENTI FINO AL 21 DICEMBRE
Le raccomandazioni dell’EDPB sono disponibili per reazioni e commenti di aziende e associazioni imprenditoriali.
La consultazione pubblica è aperta sul sito web dell’EDPB(3) fino al 21 Dicembre p.v. Al termine della consultazione, l’EDPB adotterà le raccomandazioni finali.
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(2) Recommendations 02/2020 on the European Essential Guarantees for surveillance measures – EDPB
(3) Consultazione pubblica – EDPB