news_eco_ambiente
La ISO 17033 a tutela di consumatori e imprese: il video dell’incontro UNI disponibile su YouTube
Luglio 30, 2020
news_eco_consulenza-direzione
ISO inizia i lavori sugli incidenti dei consumatori: nuovi standard in arrivo
Agosto 31, 2020
news_eco_privacy

Privacy: Stop al trasferimento di dati tra Europa e Stati Uniti

La Corte di Giustizia europea ha annullato il Privacy Shield, l’accordo che prevede il trasferimento dati degli utenti europei dall’UE agli Stati Uniti poiché non adeguato in termini di protezione dei dati.

L’accordo prevedeva una serie di vincoli e protezione per i dati delle imprese e dei cittadini che venivano trasferiti in “server” negli USA, ma per la Corte di Giustizia, il Privacy Shield, non offriva sufficienti garanzie tali da poter rispondere ai diritti previsti dalla normativa europea, quindi non rispetta a pieno regime il GDPR.

Ai sensi del GDPR il trasferimento dei dati personali verso un paese terzo può avvenire solo se si garantisce ai dati un adeguato livello di protezione.

La decisione della Corte di Giustizia Europea non interrompe del tutto la condivisione dei dati, ma impone un livello di protezione maggiore e impone un’intensificazione dei controlli sul trattamento e accesso ai dati di cittadini europei eseguito negli USA.

Tale decisione potrebbe creare diversi problemi alle multinazionali americane e europee che proprio sul trasferimento di questi dati, e sul loro utilizzo, fondano buona parte del loro business. Pertanto, si dovrà ripensare la propria strategia industriale e rivedere una riorganizzazione tecnica per una migliore gestione del flusso di dati verso gli Stati Uniti.

Questo il commento di Mirko Preti (consulente senior area privacy del Gruppo Ecoconsult) come suggerimenti alle imprese: “È importante sottolineare che alla luce di tale decisione, assume un ruolo ancora più strategico la mappatura del flusso dei dati personali grazie a cui è possibile individuare a chi, con quali modalità tecnico organizzative e sulla base di quale strumento giuridico sono trasferiti i dati personali fuori dalla UE. Dall’analisi delle risposte fornite dal comitato europeo per la protezione dei dati in merito alle conseguenze operative di tale Sentenza, emerge che in caso di assenza di una decisione di adeguatezza ex art. 45 GDPR, le imprese nel caso in cui vogliano trasferire dati personali fuori dall’Unione Europea, dovranno scegliere la strategia più adatta in base alle loro caratteristiche tenendo sempre presente il principio cardine in base al quale il livello di protezione dei dati personali trasferiti deve essere uguale a quello garantito dal GDPR.   

In via esemplificativa si ricorda che i principali strumenti per permettere il trasferimento dei dati personali verso un paese terzo sono le clausole contrattuali standard (SCC) – scelta consigliata per le piccole e medie imprese -, le norme vincolanti d’impresa (BCR) – scelta più adatta per le multinazionali-, e le deroghe ex. Art 49 GDPR (per esempio consenso, esecuzione di un contratto). Dopo aver scelto lo strumento più adatto in base alle caratteristiche aziendali, facendosi consigliare dal proprio consulente privacy o dal DPO, dovrà essere svolta dall’esportatore e dall’importatore una valutazione “in concreto” per capire se le garanzie previste dallo strumento scelto potranno essere rispettare nella pratica o se sarà necessario adottare “misure supplementari”; in tal caso sarà necessario analizzare l’adeguatezza di tale misure per rispettare il principio cardine sopra ricordato per, infine, prendere la decisione più opportuna in merito al trasferimento, al trasferimento con segnalazione all’autorità di controllo competente o al mancato trasferimento.  

Appare chiaro dal quadro esposto sopra come sia sempre più cruciale per le aziende potersi avvalere di un bravo consulente privacy, anche per argomenti specifici come questo, che sarà in grado di fornire il proprio contributo all’azienda per permetterle di adottare la strategia migliore per poter operare con successo anche in paesi terzi riducendo al massimo il rischio di pesanti sanzioni.