Home

Internal

Global

Contatto

de|en|it

Cinque nuovi Associate Partner per Rödl & Partner Italia |

In tutto il mondo

Utilizziamo cookie tecnici per personalizzare il sito web e offrire all’utente un servizio di maggior valore. Chiudendo il banner e continuando con la navigazione verranno installati nel Suo dispositivo i cookie tecnici necessari ai fini della navigazione nel Sito. L’installazione dei cookie tecnici non richiede alcun consenso da parte Sua. Ulteriori informazioni sono contenute nella nostra Cookie Policy.

Privacy Shield: la Corte di Giustizia Europea annulla l’accordo per il trasferimento di dati personali negli USA. Quali conseguenze per le aziende?

Ultimo aggiornamento del 20.07.2020 | Tempo di lettura ca. 4 minuti

Al fine di tutelare i cittadini europei dal rischio di essere soggetti ai programmi di sorveglianza statunitensi, la Corte di Giustizia Europea, con una sentenza del 16 luglio 2020, rende illeciti i trasferimenti di dati personali fondati sul meccanismo del Privacy Shield. Il trasferimento dei dati personali oltre oceano potrà continuare, ma sarà necessario implementare nuove misure ed adottare le misure previste dal GDPR.

Con storica sentenza del 16 luglio 2020, la Corte di Giustizia dell’Unione Europea ha dichiarato l’invalidità della Decisione n. 2016/1250 e, con essa, del c.d. Privacy Shield, ossia l’accordo volto a disciplinare il trasferimento dei dati personali dei cittadini europei verso soggetti statunitensi.

Secondo la CGUE l’accordo, adottato nel 2016 per porre rimedio alla situazione creatasi a seguito della dichiarazione di invalidità del precedente Safe Harbour, non pone infatti sufficienti garanzie a tutela della privacy dei cittadini europei, esponendoli al rischio di essere soggetti ai programmi di sorveglianza statunitensi.

Di fatto, la sentenza – a prescindere dalle possibili conseguenze sotto il profilo economico – rende oggi illeciti i trasferimenti di dati personali fondati sull’adesione del soggetto americano al meccanismo del Privacy Shield, ponendo così enormi criticità sotto il profilo della protezione dei dati personali (si pensi, ad esempio, a tutte le aziende che utilizzano soluzioni in cloud fornite da provider americani e i cui dati sono dunque conservati all’interno di server ubicati negli USA).

Ovviamente ciò non esclude da oggi in poi il trasferimento di dati fra Unione Europea e USA, a condizione che siano adottati gli accorgimenti messi a disposizione del GDPR quali:

la sussistenza di decisioni di adeguatezza agli standard europei in materia di protezione dei dati personali (es. quelle espresse per la Svizzera, il Canada, etc);
le Clausole Contrattuali Standard adottate dalla Commissione Europea (c.d. “SCC”), di cui la CGUE ha confermato la validità affidando tuttavia alle autorità di controllo locali il potere di sospendere o vietare il trasferimento dei dati verso un determinato paese terzo ogniqualvolta ritenga che l’ordinamento di tale paese non consenta il rispetto delle SCC;
le norme vincolanti d’impresa (c.d. Binding Corporate Rules), pensate per i grandi gruppi multinazionali e da negoziare con le diverse autorità di controllo;
le clausole contrattuali adottate dalle singole autorità di controllo, nella cui redazione l’Autorità Garante italiana è in ritardo rispetto ad altre autorità europee;
l’adesione ad un codice di condotta o ad un meccanismo di certificazione unitamente all’impegno del destinatario extra UE di applicare garanzie adeguate;
il consenso dell’interessato.

Per concludere, la decisione costringe quindi ogni azienda/organizzazione europea a cessare l’utilizzo del Privacy Shield, a ripensare e disciplinare il trasferimento di dati in USA con uno degli strumenti sopra citati ed a avviare un assessment dei fornitori in uso e delle misure adottate per il trasferimento dati. In attesa di eventuali pronunziamenti delle autorità di controllo locali.