People Intouch ha sempre avvertito le organizzazioni che il trattamento di dati aziendali sensibili negli Stati Uniti porrà tali dati alla portata di Autorità pervasive statunitensi (ad es. DOJ, NSA, DHS). La sentenza di Schrems II di questo mese pronunciata dalla Corte di giustizia dell’Unione Europea conferma le nostre preoccupazioni in merito e sottolinea l’importanza di pensare a dove si desideri trattare i dati sensibili della propria azienda relativi a cattiva condotta.
Il 16 luglio la CGUE ha invalidato l’UE-U.S. Privacy Shield Framework nella sua decisione di Schrems II. Il Privacy Shield ha costituito la base legale sulla quale oltre 5.000 aziende contavano per trasferire i dati personali dall’Europa agli Stati Uniti in modo conforme. Inoltre, per le aziende che non si affidano al Privacy Shield per la privacy ai fini di un trattamento conforme, l’invalidazione avrà un impatto significativo poiché la sentenza sottolinea le difficoltà che possono derivare dal trasferimento dei dati negli Stati Uniti e da un’adeguata tutela degli stessi.
Il GDPR crea condizioni di parità a livello europeo per la protezione dei dati personali all’interno dell’Unione Europea. Il trasferimento di dati personali al di fuori dell’UE dovrebbe aderire a un livello equivalente (elevato) di protezione. Onde agevolare il trasferimento transfrontaliero al di fuori dell’UE, la Commissione Europea fornisce decisioni di adeguatezza per Paesi specifici. Una decisione di adeguatezza consiste in un atto di esecuzione e una procedura di esame, compresi criteri quali il rispetto dello Stato di diritto, l’accesso alla giustizia e le norme internazionali sui diritti umani. Una decisione adeguata per un determinato Paese salvaguarda il trasferimento internazionale di dati verso tale specifico Paese. Oltre alle decisioni di adeguatezza, i trasferimenti di dati possono anche essere effettuati in modo conforme al GDPR ad es. prevedendo clausole contrattuali standard (adottate dalla Commissione Europea, ma attualmente anche sotto esame) o norme aziendali vincolanti.
Il Privacy Shield non è stato il primo accordo stilato dalla Commissione Europea al fine di garantire una protezione equivalente per il trasferimento di dati personali negli Stati Uniti. Il predecessore era il Safe Harbor Framework, approvato 20 anni fa. Il Safe Harbor è stato invalidato dalla CGUE nel 2015 nell’ambito di Schrems I, poiché mancava di una protezione sufficiente dei diritti fondamentali equivalenti a quelli dell’Unione Europea. Gli Stati Uniti hanno posto la sicurezza nazionale, l’interesse pubblico e le forze dell’ordine al di sopra dei principi di Safe Harbor per la protezione dei dati personali.
La Commissione Europea ha formalmente approvato l’UE-U.S. Privacy Shield nel 2016 quale miglior successore di Safe Harbor. Il Privacy Shield ha fornito un programma di certificazione volontario al quale le aziende avrebbero potuto aderire. Le aziende che richiedevano il programma di certificazione avrebbero dovuto essere qualificate e impegnarsi a rispettare i principi del Privacy Shield. Tra i principi sanciti figuravano ad es. la responsabilità per il trasferimento successivo, l’integrità dei dati, l’accesso e la responsabilità. Tuttavia, il 16 luglio la CGUE ha stabilito che anche il Privacy Shield non fornisce sufficienti garanzie. In particolare, esso non fornisce garanzie sufficienti in grado di mantenere sicuri i dati personali trasferiti dai programmi di sorveglianza degli Stati Uniti. Inoltre, detto strumento non garantisce agli interessati europei diritti esecutivi sufficienti e rimedi legali efficaci negli Stati Uniti.
La sentenza della CGUE sottolinea ancora una volta le difficoltà che derivano dal trasferimento dei dati sensibili dell’azienda negli Stati Uniti. Poiché il Privacy Shield non costituisce più una base giuridica valida per il trasferimento internazionale di dati, le organizzazioni che fanno affidamento su di esso dovranno adottare nuove disposizioni per rimanere conformi agli elevati standard europei in materia di protezione dei dati. Se le stesse desiderano continuare a trasferire i loro dati al di fuori dell’Europa, dovrà essere compiuta un’analisi caso per caso che consenta di salvaguardarne i dati.
Maggiori dettagli sulla sentenza di Schrems II della CGUE sono disponibili qui.
Parla con i nostri esperti
Volete saperne di più, discutere alcune idee o condividere opinioni?