Trasferimento di dati personali UE - USA - Invalidato il Privacy Shield “scudo per la privacy” fra Unione Europea e USA | TUTELA PRIVACY | GDPR | DPO
375
post-template-default,single,single-post,postid-375,single-format-standard,bridge-core-2.0.8,ajax_fade,page_not_loaded,,qode-title-hidden,qode_grid_1300,footer_responsive_adv,qode-child-theme-ver-1.0.0,qode-theme-ver-19.5,qode-theme-bridge,disabled_footer_bottom,wpb-js-composer js-comp-ver-6.1,vc_responsive

20 Lug Trasferimento di dati personali UE – USA – Invalidato il Privacy Shield “scudo per la privacy” fra Unione Europea e USA

Posted at 08:43h in News by

Il Privacy Shield, ovvero lo “scudo per la privacy” fra Unione Europea e USA, è un meccanismo di autocertificazione per le società stabilite negli USA che intendono ricevere dati personali dall’Unione europea. Le Aziende che hanno aderito al Privacy Shield si sono impegnate a rispettare i principi in esso contenuti e a fornire agli interessati (i.e. ovvero tutti i soggetti i cui dati personali siano stati trasferiti dall’Unione Europea) adeguati strumenti di tutela, pena l’eliminazione dalla lista delle società certificate (“Privacy Shield List”) da parte del Dipartimento del Commercio statunitense e possibili sanzioni da parte della Federal Trade Commission (Commissione federale per il commercio).

Con la sentenza nella causa C-311/18 del 16 luglio 2020, la Commissione europea ha  invalidato la decisione 2016/1250 della Commissione sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy, mantenendo altresì valida la decisione 2010/87 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi.

Secondo i giudici della Corte, il Privacy Shield non fornisce ai cittadini europei sufficienti garanzie contro le leggi statunitensi in materia di sorveglianza e sicurezza della privacy, e perciò ai sensi del GDPR il trasferimento di dati dall’UE verso un Paese terzo può avvenire, in linea di principio, “solo se tale Paese terzo garantisce un adeguato livello di protezione” e tramite l’utilizzo di altri strumenti che ne legittimino l’esportazione.

Quali sono gli impatti sulle aziende? Con l’invalidazione del Privacy Shield si complica un po’ la vita alle imprese che dovranno rimettere mano alle proprie procedure e misure di controllo e garanzia per il trasferimento dei dati oltreoceano . Tuttavia, gli artt. 46, 47 e 49 del GDPR prevedono ulteriori ipotesi in cui il trasferimento dei dati personali verso un Paese extra-UE (in generale e non solo negli USA) può essere effettuato legittimamente senza necessità di autorizzazione da parte dell’Autorità di controllo:

  • norme vincolanti di impresa (le cd. Binding corporate rules) che possono essere utilizzate nell’ambito dei rapporti infragruppo;
  • clausole tipo adottate da autorità di controllo nazionali e approvate dalla Commissione;
  • codici di condotta, a cui titolare e responsabile del trattamento si sottopongono;
  • meccanismi di certificazione.
  • infine, potrebbero essere adottate anche specifiche clausole contrattuali tra i vari soggetti coinvolti nel trasferimento ma in tal caso sarà necessaria l’autorizzazione preventiva da parte dell’autorità di controllo (Garante Privacy).

Per maggiori informazioni potete contattarci al numero 011.5534737 oppure via e-mail info@tutelaprivacy.com 

Tags:
, , , , , , , , , , , ,