Alla luce di questo importante risultato, abbiamo aggiornato la nostra documentazione includendo le informazioni più recenti. Per rimanere aggiornati sul nuovo accordo sulla privacy tra UE e USA e sulle sue implicazioni, ti invitiamo a leggere il nostro ultimo articolo.
🔍 Scopri le ultime novità sul: trasferimento dei dati personali tra UE e USA
Grazie per il tuo continuo supporto e per affidarti a noi per affrontare importanti questioni globali!
Il Privacy Shield UE-US è stato invalidato, ecco cosa sapere e cosa fare.
Ricapitoliamo: con la sentenza del 16 luglio 2020 nella causa C-311/18 tra il Data Protection Commissioner/Maximilian Schrems e Facebook Ireland, la Corte di Giustizia dell’Unione Europea (CGUE) ha dichiarato il Privacy Shield UE-US incompatibile con il GDPR e, quindi, non più valido.
La ragione alla base di questa decisione è che l’attuale livello di protezione dei dati personali previsto dalla legislazione statunitense non può essere considerato equivalente a quello del GDPR. Ciò è dovuto in gran parte ai programmi di sorveglianza statunitensi e alla mancanza di un meccanismo adeguato per gli utenti europei.
L’annullamento del Privacy Shield ha avuto effetto immediato, il che significa che il Privacy Shield non costituisce più una base valida per trasferire i dati dell’UE negli Stati Uniti.
Controlla ogni trasferimento dei dati che effettui verso gli USA (ad esempio, usi un fornitore o uno strumento gestito da una società statunitense) per verificare se si basa sul Privacy Shield o su clausole contrattuali standard. Ciò significa che potresti dover verificare l’intero processo e fare un elenco di tutti gli eventuali servizi, integrazioni o terze parti con sede negli Stati Uniti o che memorizzano dati su server statunitensi.
💡 Questo procedimento è più semplice se usi il nostro Generatore di Privacy e Cookie Policy: infatti puoi facilmente controllare il luogo del trattamento dei servizi presenti nella tua Privacy e Cookie Policy.
Per tua comodità, abbiamo preparato un elenco dei servizi che si sono autocertificati ai sensi del Privacy Shield e che sono previsti dal nostro generatore.
I trasferimenti dei dati verso gli Stati Uniti che si basano sulle attuali clausole contrattuali standard dell’UE sono soggetti a contestazioni legali. Ciò è dovuto al fatto che esse creano obblighi vincolanti solo per le parti contraenti e non per il governo degli Stati Uniti. Pertanto, tali clausole non saranno in grado di porre rimedio all’incompatibilità dei sistemi giuridici dell’UE e degli Stati Uniti.
Di conseguenza, se un fornitore di servizi sceglie di affidarsi alle clausole contrattuali standard, sono necessari questi passi aggiuntivi:
Laddove prima ti basavi sul Privacy Shield, devi subito cercare un meccanismo alternativo che possa giustificare il trasferimento dei dati secondo il GDPR. Al momento hai queste opzioni:
Se usi delle clausole contrattuali standard al posto del Privacy Shield, tieni presente che al momento i trasferimenti dei dati verso gli Stati Uniti possono essere soggetti a contestazioni. Ciò è dovuto al fatto che creano obblighi vincolanti solo per le parti contraenti e non per il governo degli Stati Uniti. Sono pertanto necessarie misure aggiuntive alle clausole contrattuali standard (vedi la sezione precedente).
Per quanto riguarda il consenso esplicito e altre eccezioni ai sensi dell’articolo 49 del GDPR, consulta questa FAQ (in inglese) dell’EDPB tenendo presente che, per i trasferimenti dei dati oltre oceano che si basano sul consenso, quest’ultimo dev’essere:
Un modo semplice di aggirare la questione del trasferimento dei dati verso gli Stati Uniti è quello di mantenere i dati degli utenti europei all’interno dell’UE. Se scegli questo approccio, potresti dover valutare l’adozione di servizi alternativi che operano esclusivamente nell’UE, o che hanno un datacenter anche nell’UE.
Al di là dell’opzione scelta, devi monitorare l’evolversi della situazione. Il Dipartimento del Commercio degli Stati Uniti d’America e la Commissione Europea stanno valutando la possibilità di rafforzare il quadro di protezione della privacy dell’UE e degli USA per adeguarsi alla sentenza della Corte.
Per tua comodità, abbiamo preparato un elenco dei servizi aderenti al Privacy Shield e che sono previsti dal nostro generatore.
Questo elenco potrebbe esserti utile per verificare come i fornitori di servizi hanno reagito all’annullamento del Privacy Shield e quali meccanismi alternativi hanno deciso di implementare. A questo link puoi verificare se eventuali servizi personalizzati da te in uso (e non presenti nel nostro elenco) aderivano al Privacy Shield.
Alla luce della sentenza della Corte, Facebook ha annunciato che, per quanto riguarda il trasferimento dei dati relativi agli annunci, ai prodotti di misurazione e agli utenti di Workplace, sta lavorando per passare alle clausole contrattuali standard.
Analogamente, Google ha informato i suoi utenti europei che si sta muovendo per fare affidamento sulle clausole contrattuali standard per il trasferimento dei dati personali riguardanti pubblicità e misurazione. Di conseguenza stanno aggiornando le pagine Conformità, Termini sulla protezione dei dati da parte del titolare del trattamento e del titolare della misurazione di Google e Termini contrattuali sulla protezione dei dati applicabili al Titolare del trattamento degli Annunci di Google.
Amazon (AWS) ha aggiornato la sua pagina EU-US Privacy Shield, rassicurando i suoi clienti sul fatto che sono in atto rigorose misure tecniche e organizzative per proteggere la privacy degli utenti e che i suoi clienti possono “continuare ad affidarsi alle clausole contrattuali standard incluse nell’AWS GDPR Data Processing Addendum se scelgono di trasferire i loro dati al di fuori dell’Unione Europea in conformità con GDPR. L’addendum fa parte dei termini di servizio di AWS ed è disponibile per tutti i clienti che trasferiscono dati personali dall’UE a qualsiasi paese in cui opera l’AWS, compresi gli Stati Uniti”.
Tramite il suo EU Policy Blog, Microsoft ha assicurato ai propri clienti che sono protetti da clausole contrattuali standard fin dal giorno in cui è stata emessa la sentenza. Microsoft ha inoltre aggiunto ulteriori elementi alla sua informativa sulla privacy per chiarire che, alla luce della sentenza della Corte, non si affida al Privacy Shield come base giuridica per il trasferimento dei dati personali.
Il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato delle FAQ relative alla sentenza della Corte. L’EDPB ha inoltre annunciato la creazione di due task force, una dedicata ai reclami e un’altra focalizzata sulle misure supplementari da adottare per garantire un’adeguata protezione nel trasferimento dei dati verso gli Stati Uniti.
Il Dipartimento del Commercio degli Stati Uniti ha pubblicato un “White Paper” sulle misure di salvaguardia aggiuntive alle clausole contrattuali standard. In esso sostiene che la supervisione della Corte di sorveglianza dei servizi segreti stranieri degli Stati Uniti sull’attuazione della sezione 702 del FISA (legge sulla sorveglianza e l’intelligence straniera) sia in linea col diritto europeo.
La Commission nationale de l’informatique et des libertés (CNIL), l’Autorità francese per la protezione dei dati personali, ha tradotto le FAQ dell’EDPB in francese. Inoltre, ha pubblicato un documento sulle decisioni di adeguatezza, per aiutare gli utenti a stabilire il livello di protezione dei dati personali di ogni paese.
L’Autorità per la protezione dei dati del Baden-Württemberg (uno degli stati federali tedeschi) ha pubblicato delle linee guida per affrontare le conseguenze dell’annullamento del Privacy Shield.
L’Autorità svizzera ha subito chiarito che la sentenza della Corte non è direttamente applicabile alla Svizzera. È comunque giunta alla conclusione che il CH-US Privacy Shield non garantisce un adeguato livello di protezione dei dati personali.
L’ICO (l’Autorità inglese per la protezione dei dati personali) ha reso disponibile un numero di telefono per le domande inerenti la decisioni della Corte.
Nella dichiarazione aggiornata sulla sentenza, l’ICO ritiene le FAQ pubblicate dall’EDPB una guida ancora valida per le aziende inglesi, indipendentemente dalla Brexit.
L’Autorità irlandese per la protezione dei dati personali ha emesso un’ordinanza preliminare contro Facebook Inc. per sospendere i suoi trasferimenti dei dati dall’UE agli Stati Uniti. Facebook ha già presentato ricorso sulla base del fatto che le relative linee guida dell’EDPB non sono ancora state emanate.
L’associazione di Max Schrem, il Centro Europeo per i Diritti Digitali (NOYB) ha presentato 101 reclami contro aziende in tutta l’UE per l’uso di Google Analytics e Facebook Connect per trasferire i dati dei cittadini europei negli Stati Uniti senza un valido meccanismo legale.
