Iubenda logo
Inizia la generazione

Documentazione

Indice dei contenuti

Privacy Shield invalidato – Tutto quello che devi sapere e cosa fare

Il Privacy Shield UE-US è stato invalidato, ecco cosa sapere e cosa fare.

Ricapitoliamo: con la sentenza del 16 luglio 2020 nella causa C-311/18 tra il Data Protection Commissioner/Maximilian Schrems e Facebook Ireland, la Corte di Giustizia dell’Unione Europea (CGUE) ha dichiarato il Privacy Shield UE-US incompatibile con il GDPR e, quindi, non più valido.

La ragione alla base di questa decisione è che l’attuale livello di protezione dei dati personali previsto dalla legislazione statunitense non può essere considerato equivalente a quello del GDPR. Ciò è dovuto in gran parte ai programmi di sorveglianza statunitensi e alla mancanza di un meccanismo adeguato per gli utenti europei.

L’annullamento del Privacy Shield ha avuto effetto immediato, il che significa che il Privacy Shield non costituisce più una base valida per trasferire i dati dell’UE negli Stati Uniti.

Usi servizi che trasferiscono dati di utenti europei negli Stati Uniti? Cosa fare ora che il Privacy Shield è stato annullato

1) Verifica tutti i trasferimenti dei dati effettuati verso gli Stati Uniti

Controlla ogni trasferimento dei dati che effettui verso gli USA (ad esempio, usi un fornitore o uno strumento gestito da una società statunitense) per verificare se si basa sul Privacy Shield o su clausole contrattuali standard. Ciò significa che potresti dover verificare l’intero processo e fare un elenco di tutti gli eventuali servizi, integrazioni o terze parti con sede negli Stati Uniti o che memorizzano dati su server statunitensi.

💡 Questo procedimento è più semplice se usi il nostro Generatore di Privacy e Cookie Policy: infatti puoi facilmente controllare il luogo del trattamento dei servizi presenti nella tua Privacy e Cookie Policy.

Per tua comodità, abbiamo preparato un elenco dei servizi che si sono autocertificati ai sensi del Privacy Shield e che sono previsti dal nostro generatore.

2) Altro da tenere presente se i tuoi trasferimenti dei dati verso gli USA si basano su clausole contrattuali standard

I trasferimenti dei dati verso gli Stati Uniti che si basano sulle attuali clausole contrattuali standard dell’UE sono soggetti a contestazioni legali. Ciò è dovuto al fatto che esse creano obblighi vincolanti solo per le parti contraenti e non per il governo degli Stati Uniti. Pertanto, tali clausole non saranno in grado di porre rimedio all’incompatibilità dei sistemi giuridici dell’UE e degli Stati Uniti.

Di conseguenza, se un fornitore di servizi sceglie di affidarsi alle clausole contrattuali standard, sono necessari questi passi aggiuntivi:

  • L’adozione di misure contrattuali integrative (ad esempio una severa condizione aggiunta al contratto che consente l’interruzione del flusso di dati in caso di accesso non autorizzato da parte del governo).
  • La garanzia di una maggiore trasparenza nei confronti degli utenti.
  • L’adozione di misure tecniche come la crittografia.
  • Una valutazione che tenga conto delle circostanze dei trasferimenti e di tutte le misure supplementari sopra menzionate che potrebbero essere messe in atto. Se la conclusione è che non si può garantire un livello di protezione adeguato, il trasferimento dei dati deve essere sospeso o interrotto.
  • La situazione va continuamente monitorata. Il Comitato europeo per la protezione dei dati (EDPB) ha creato una task force dedicata a queste misure supplementari.

3) Per i trasferimenti basati sul Privacy Shield, cerca un’alternativa valida per il GDPR

Laddove prima ti basavi sul Privacy Shield, devi subito cercare un meccanismo alternativo che possa giustificare il trasferimento dei dati secondo il GDPR. Al momento hai queste opzioni:

  • clausole contrattuali standard
  • consenso esplicito e altre eccezioni ai sensi dell’articolo 49 del GDPR
  • riconsiderare il trasferimento dei dati negli Stati Uniti

Sostituisci il Privacy Shield con clausole contrattuali standard

Se usi delle clausole contrattuali standard al posto del Privacy Shield, tieni presente che al momento i trasferimenti dei dati verso gli Stati Uniti possono essere soggetti a contestazioni. Ciò è dovuto al fatto che creano obblighi vincolanti solo per le parti contraenti e non per il governo degli Stati Uniti. Sono pertanto necessarie misure aggiuntive alle clausole contrattuali standard (vedi la sezione precedente).

Sostituisci il Privacy Shield con il consenso esplicito

Per quanto riguarda il consenso esplicito e altre eccezioni ai sensi dell’articolo 49 del GDPR, consulta questa FAQ (in inglese) dell’EDPB tenendo presente che, per i trasferimenti dei dati oltre oceano che si basano sul consenso, quest’ultimo dev’essere:

  • esplicito;
  • specifico per un particolare trasferimento dei dati o un insieme di trasferimenti; e
  • informato, il che significa che l’utente dev’essere consapevole di tutti i possibili rischi del trasferimento a causa della mancanza di un’adeguata protezione.

Riconsidera in toto il trasferimento dei dati verso gli USA

Un modo semplice di aggirare la questione del trasferimento dei dati verso gli Stati Uniti è quello di mantenere i dati degli utenti europei all’interno dell’UE. Se scegli questo approccio, potresti dover valutare l’adozione di servizi alternativi che operano esclusivamente nell’UE, o che hanno un datacenter anche nell’UE.

Al di là dell’opzione scelta, devi monitorare l’evolversi della situazione. Il Dipartimento del Commercio degli Stati Uniti d’America e la Commissione Europea stanno valutando la possibilità di rafforzare il quadro di protezione della privacy dell’UE e degli USA per adeguarsi alla sentenza della Corte (qui la dichiarazione ufficiale).

Elenco dei servizi aderenti al Privacy Shield presenti nel Generatore di Privacy e Cookie Policy di iubenda

Per tua comodità, abbiamo preparato un elenco dei servizi aderenti al Privacy Shield e che sono previsti dal nostro generatore.

Questo elenco potrebbe esserti utile per verificare come i fornitori di servizi hanno reagito all’annullamento del Privacy Shield e quali meccanismi alternativi hanno deciso di implementare. A questo link puoi verificare se eventuali servizi personalizzati da te in uso (e non presenti nel nostro elenco) aderivano al Privacy Shield.

Informazioni aggiuntive

Come hanno reagito alcuni tra i maggiori fornitori di servizi

Alla luce della sentenza della Corte, Facebook ha annunciato che, per quanto riguarda il trasferimento dei dati relativi agli annunci, ai prodotti di misurazione e agli utenti di Workplace, sta lavorando per passare alle clausole contrattuali standard.

Analogamente, Google ha informato i suoi utenti europei che si sta muovendo per fare affidamento sulle clausole contrattuali standard per il trasferimento dei dati personali riguardanti pubblicità e misurazione. Di conseguenza stanno aggiornando le pagine Conformità, Termini sulla protezione dei dati da parte del titolare del trattamento e del titolare della misurazione di Google e Termini contrattuali sulla protezione dei dati applicabili al Titolare del trattamento degli Annunci di Google.

Amazon (AWS) ha aggiornato la sua pagina EU-US Privacy Shield, rassicurando i suoi clienti sul fatto che sono in atto rigorose misure tecniche e organizzative per proteggere la privacy degli utenti e che i suoi clienti possono “continuare ad affidarsi alle clausole contrattuali standard incluse nell’AWS GDPR Data Processing Addendum se scelgono di trasferire i loro dati al di fuori dell’Unione Europea in conformità con GDPR. L’addendum fa parte dei termini di servizio di AWS ed è disponibile per tutti i clienti che trasferiscono dati personali dall’UE a qualsiasi paese in cui opera l’AWS, compresi gli Stati Uniti”.

Tramite il suo EU Policy Blog, Microsoft ha assicurato ai propri clienti che sono protetti da clausole contrattuali standard fin dal giorno in cui è stata emessa la sentenza. Microsoft ha inoltre aggiunto ulteriori elementi alla sua informativa sulla privacy per chiarire che, alla luce della sentenza della Corte, non si affida al Privacy Shield come base giuridica per il trasferimento dei dati personali.

Come hanno reagito i paesi dell’UE

Il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato delle FAQ relative alla sentenza della Corte. L’EDPB ha inoltre annunciato la creazione di due task force, una dedicata ai reclami e un’altra focalizzata sulle misure supplementari da adottare per garantire un’adeguata protezione nel trasferimento dei dati verso gli Stati Uniti.

Il Dipartimento del Commercio degli Stati Uniti ha pubblicato un “White Paper” sulle misure di salvaguardia aggiuntive alle clausole contrattuali standard. In esso sostiene che la supervisione della Corte di sorveglianza dei servizi segreti stranieri degli Stati Uniti sull’attuazione della sezione 702 del FISA (legge sulla sorveglianza e l’intelligence straniera) sia in linea col diritto europeo.

La Commission nationale de l’informatique et des libertés (CNIL), l’Autorità francese per la protezione dei dati personali, ha tradotto le FAQ dell’EDPB in francese. Inoltre, ha pubblicato un documento sulle decisioni di adeguatezza, per aiutare gli utenti a stabilire il livello di protezione dei dati personali di ogni paese.

L’Autorità per la protezione dei dati del Baden-Württemberg (uno degli stati federali tedeschi) ha pubblicato delle linee guida per affrontare le conseguenze dell’annullamento del Privacy Shield.

L’Autorità svizzera ha subito chiarito che la sentenza della Corte non è direttamente applicabile alla Svizzera. È comunque giunta alla conclusione che il CH-US Privacy Shield non garantisce un adeguato livello di protezione dei dati personali.

L’ICO (l’Autorità inglese per la protezione dei dati personali) ha reso disponibile un numero di telefono per le domande inerenti la decisioni della Corte.

Nella dichiarazione aggiornata sulla sentenza, l’ICO ritiene le FAQ pubblicate dall’EDPB una guida ancora valida per le aziende inglesi, indipendentemente dalla Brexit.

L’Autorità irlandese per la protezione dei dati personali ha emesso un’ordinanza preliminare contro Facebook Inc. per sospendere i suoi trasferimenti dei dati dall’UE agli Stati Uniti. Facebook ha già presentato ricorso sulla base del fatto che le relative linee guida dell’EDPB non sono ancora state emanate.

L’associazione di Max Schrem, il Centro Europeo per i Diritti Digitali (NOYB) ha presentato 101 reclami contro aziende in tutta l’UE per l’uso di Google Analytics e Facebook Connect per trasferire i dati dei cittadini europei negli Stati Uniti senza un valido meccanismo legale.