La Corte di Giustizia europea ha annullato il Privacy Shield, l’accordo che prevedeva il trasferimento dati degli utenti europei dall’UE agli Stati Uniti poiché non adeguato in termini di protezione dei dati.
L’accordo prevedeva una serie di vincoli e protezione per i dati delle imprese e dei cittadini che venivano trasferiti in “server” negli USA, ma per la Corte di Giustizia, il Privacy Shield, non offriva sufficienti garanzie tali da poter rispondere ai diritti previsti dalla normativa europea, quindi non rispetta a pieno regime il GDPR.
Ai sensi del GDPR, il trasferimento dei dati personali verso un paese terzo può avvenire solo se si garantisce ai dati un adeguato livello di protezione.
La decisione della Corte di Giustizia Europea non interrompe del tutto la condivisione dei dati, ma impone un livello di protezione maggiore e impone un’intensificazione dei controlli sul trattamento e accesso ai dati di cittadini europei eseguito negli USA.
Tale decisione potrebbe creare diversi problemi alle multinazionali americane e europee che proprio sul trasferimento di questi dati, e sul loro utilizzo, fondano buona parte del loro business. Pertanto, si dovrà ripensare la propria strategia industriale e rivedere una riorganizzazione tecnica per una migliore gestione del flusso di dati verso gli Stati Uniti.
In questa fase di transizione, è bene segnalare l’emanazione da parte del Comitato Europeo per la Protezione dei Dati (EDPB) dei seguenti documenti:
Assume particolare rilievo l’avvio del progetto per l’emanazione di nuove clausole contrattuali standard da parte dell’Unione Europea (SCC) che costituiscono un importante strumento per le piccole e medie imprese.
Questi i suggerimenti di Mirko Preti (consulente senior area privacy del Gruppo Ecoconsult) alle aziende.
“Assume un ruolo sempre più strategico la mappatura del flusso dei dati personali grazie a cui è possibile individuare a chi, con quali modalità tecnico organizzative e sulla base di quale strumento giuridico sono trasferiti i dati personali fuori dalla UE.
Dall’analisi delle risposte fornite dal comitato europeo per la protezione dei dati in merito alle conseguenze operative di tale Sentenza, emerge che in caso di assenza di una decisione di adeguatezza ex art. 45 GDPR, le imprese nel caso in cui vogliano trasferire dati personali fuori dall’Unione Europea, dovranno scegliere la strategia più adatta in base alle loro caratteristiche, tenendo sempre presente il principio cardine in base al quale il livello di protezione dei dati personali trasferiti deve essere uguale a quello garantito dal GDPR.
In via esemplificativa, si ricorda che i principali strumenti per permettere il trasferimento dei dati personali verso un paese terzo sono:
Dopo aver scelto lo strumento più adatto in base alle caratteristiche aziendali, facendosi consigliare dal proprio consulente privacy o dal DPO, dovrà essere svolta dall’esportatore e dall’importatore una valutazione “in concreto” per capire se le garanzie previste dallo strumento scelto potranno essere rispettare nella pratica o se sarà necessario adottare “misure supplementari”.
In tal caso sarà necessario analizzare l’adeguatezza di tale misure nel rispettare il principio cardine sopra ricordato per prendere la decisione più opportuna in merito al trasferimento, con segnalazione all’autorità di controllo competente, o al mancato trasferimento.
È sempre più cruciale per le aziende potersi avvalere di un bravo consulente privacy, anche per argomenti specifici come questo, che sarà in grado di fornire il proprio contributo all’azienda per permetterle di operare con successo anche in paesi terzi, riducendo al massimo il rischio di pesanti sanzioni”.
News, aggiornamenti sui nostri corsi e webinar gratuiti, ZERO SPAM. Iscriviti alla newsletter di Gruppo Ecoconsult!
Ecoconsult srl Via Carlo Goldoni, 1 - Milano Tel. 02 5410 1458 E-mail: contatti@ecoconsult.it P. IVA e C.F. 11628560150 Policy Privacy - Termini e Condizioni © 2021 Tutti i diritti riservati
Usiamo solo energie rinnovabili