In data 16/07/2020 la Corte di giustizia dell’Unione europea (C.G.U.E) ha invalidato il Privacy Shield, annullando l’accordo vigente tra Stati Uniti ed UE sulla protezione dei dati, ma andiamo per ordine.

Privacy Shield: cos’è lo Scudo per la Privacy e perché si è spezzato ?

Il Privacy Shield è un protocollo intercorrente tra U.S.A e Unione Europea per gli scambi transatlantici di dati personali a scopo commerciale. Questo accordo internazionale, che sostituisce il precedente Safe Harbour, nasce con lo scopo di garantire parità di tutela ai cittadini europei, nel caso in cui il loro dati vengano trasferiti e trattati negli Stati Uniti (Paese non regolamentato dal G.D.P.R).  La Corte di Giustizia Europea, tuttavia, ha successivamente rilevato l’inadeguatezza delle garanzie previste dal protocollo in materia di Data Protection. Per tale motivo, il 16 luglio scorso, la C.G.U.E ha dichiarato l’invalidità dell’accordo internazionale ( c.d. “Sentenza Schrems II”), rimettendo sul tavolo il problema della Privacy riguardo al trasferimento di dati personali verso Paesi Terzi. Sulla decisione si è espresso anche il Garante Europeo per la protezione dei dati (E.d.p.s), che ha dichiarato: “La protezione dei dati personali è più di un diritto fondamentale “europeo” ma è un diritto fondamentale ampiamente riconosciuto in tutto il mondo”.

Le implicazioni per le aziende: quali sono le azioni da intraprendere ?

Quali sono, dunque, le implicazioni per le aziende sul piano pratico? Il Regolamento UE 2016/679 prevede che qualunque trasferimento di dati personali verso un’organizzazione internazionale o un Paese Terzo sia ammesso solo se soggetto a garanzie adeguate per i soggetti interessati (Artt. 44 e seguenti). Con la revoca della decisione di adeguatezza (Privacy Shield) e in attesa di indicazioni più chiare da parte del Garante Europeo, le aziende sono quindi chiamate a farsi parte attiva, definendo e garantendo le misure necessarie a rendere sicuro il trasferimento extra-UE di dati personali. Nello specifico, tali misure possono essere così sintetizzate:

1.      prevedere clausole specifiche all’interno dei contratti con fornitori statunitensi (o che si appoggiano ad essi). Tali clausole devono garantire un adeguato livello di protezione dei dati personali e un’effettiva tutela e attuabilità dei diritti degli interessati;

2.      adottare dei criteri  di protezione aggiuntivi quali la pseudonimizzazione o la cifratura dei dati;

3.      prediligere, quando possibile, fornitori dotati di data center localizzati nell’Unione europea, così da evitare trasferimenti di dati non necessari.

Laddove queste misure non vengano rispettate (o non sia possibile adottarle), il trasferimento dei dati dovrà essere immediatamente sospeso, al fine di non incappare nelle pesanti sanzioni previste dal G.D.P.R.

Artea S.r.l è a disposizione, con i propri specialisti, per esaminare il Vostro caso.