HOME

/

DIRITTO

/

PRIVACY 2024

/

INVALIDO IL TRASFERIMENTO DEI DATI TRA L’EUROPEA E USA: A DIRLO LA CORTE DI GIUSTIZIA

Invalido il trasferimento dei dati tra l’Europea e USA: a dirlo la Corte di Giustizia

Commento alla sentenza della Corte di Giustizia Europea che dichiara invalido il trasferimento dei dati tra l’Europea e Stati Uniti. (Privacy-Shield)

Ascolta la versione audio dell'articolo

A seguito della sentenza adottata dalla Corte di Giustizia Europea è venuta meno la possibilità di trasferire i dati personali dalla U.E. agli USA, ricorrendo all’accordo denominato “Privacy Shield”

L'articolo continua dopo la pubblicità

Ti potrebbe interessare  Tutela della Privacy - (Pacchetto 2 eBook)

1) Premessa

La problematica della regolamentazione del trasferimento di dati all'estero, e dei flussi transfrontalieri, e di conseguenza anche dell'utilizzo di un servizio cloud che non abbia sede nel paese di residenza, è questione complessa e dibattuta. Negli ultimi anni, infatti, lo scandalo delle intercettazioni dell'NSA americana ha irrigidito le posizioni dell'Unione europea che si è vista costretta a riformare parte della regolamentazione.

Questa situazione ha portato alla approvazione del “Privacy Shield” in sostituzione del “Safe Harbor” (cd approdo sicuro) dichiarato invalido dalla Corte di Giustizia Europea.

A seguito dello sviluppo incessante delle moderne tecnologie della comunicazione – che consente, e consentirà sempre più in futuro, la possibilità di trasferire in maniera agevole e massiva i dati - la problematica riguardante il trasferimento dei dati personali da uno Stato ad un altro, si è fatta sempre più importante atteso anche lo sviluppo dei traffici commerciali, l’espansione dei rapporti economici e la trasmissione dei dati personal.

Cosa dice il  Regolamento

Si è reso, quindi, necessario approntare nuove regole al fine di tutelare i soggetti interessati, in relazione ai propri dati personali, allestendo una serie di garanzie che debbono essere assicurate anche da soggetti Titolari e Responsabili del trattamento che hanno sede al di fuori della UE, ma che trattano dati personali dei cittadini degli Stati membri.

Il legislatore comunitario parte dal presupposto che “i flussi di dati personali verso e da paesi al di fuori dell’Unione e organizzazioni internazionali sono necessari per l’espansione del commercio internazionale e della cooperazione internazionale” . Pur con la necessità di salvaguardare e agevolare la rete di scambi commerciali tra le nazioni e tra i continenti, si ritiene opportuno – comunque – che “il livello di tutela delle persone fisiche assicurato nell’Unione dal presente regolamento non sia compromesso, anche nei casi di trasferimenti successivi dei dati personali dal paese terzo o dall’organizzazione internazionale verso titolari del trattamento e responsabili del trattamento nello stesso o in un altro paese terzo (omissis). (Considerando (101))

L’articolo 44 GDPR stabilisce che, in linea di principio, la conformità alle disposizioni del capo V è obbligatoria per i trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali, compresi i trasferimenti successivi

Il Regolamento subordina la legittimità dei trasferimenti di dati verso Paesi extra Ue ad una valutazione di adeguatezza da parte della Commissione europea circa il livello di protezione assicurato in quel determinato Stato (art. 41). Riguardo ai trasferimenti dalla UE agli USA, la clausola di adeguatezza era costituita dal Privacy Shield. In assenza di una decisione di tale ordine, il trasferimento potrà avvenire solo in presenza di garanzie adeguate (ad esempio, clausole tipo di protezione dei dati, norme vincolanti d’impresa, clausole contrattuali) o al ricorrere di particolari evenienze (rispettivamente, artt. 42 e 44).

 Si tratta di deroghe che vanno, quindi, interpretate in senso restrittivo.

Per trasferire dati verso paesi terzi che non garantiscono un adeguato livello di protezione dei dati, il Titolare del trattamento può utilizzare ulteriori strumenti contrattuali, sottoponendo il flusso di dati all'esame della Autorità di vigilanza e dimostrando che vi è una base giuridica per il trasferimento e la presenza di misure atte a garantire un'adeguata tutela dei dati presso il destinatario.

2) Che cosa è il Privacy Shield

A decorrere dal 12 luglio 2016, la Commissione adottava il nuovo regime introdotto dall’EU-US Privacy Shield il quale disciplinava il trasferimento dei dati personali dalla UE agli USA; trattasi, quindi, di un accordo tra la Unione Europea e gli USA in attuazione del quale le imprese americane devono rispettare una serie di obblighi finalizzati a tutelare i dati personali dei cittadini europei.

Suddetto accordo, nato a seguito della invalidazione – da parte della Corte di Giustizia europea – del precedente accordo, denominato “Safe Harbor” (si rinvia alla sentenza del 6 ottobre 2015 nella causa C-362/14 Maximillian Schrems contro Data Protection Commissioner, con la quale la Corte di giustizia dell'Unione europea aveva dichiarato invalida la decisione 2000/520/CE) stabilisce che le autorità statunitensi vigilino ed assicurino il rispetto dell’accordo e collaborino con le autorità europee per la protezione dei dati.

Il Privacy Shield prevedeva: 

  • obblighi più stringenti a carico delle imprese USA; 
  • garanzie da parte dell’amministrazione statunitense in materia di accesso da parte delle autorità pubbliche ai dati personali; 
  • strumenti di tutela giuridica per fare valere i propri diritti; 
  • un monitoraggio congiunto USA/UE del funzionamento dell’accordo stesso.

Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy

3) La decisione della Corte di Giustizia

Secondo quanto previsto dal Regolamento Generale sulla Protezione dei Dati (di seguito “GDPR”) il trasferimento di dati personali verso un Paese terzo (in questo caso gli USA) può avvenire, in linea di principio, solo se il Paese terzo considerato garantisce a tali dati un adeguato livello di protezione. Secondo il GDPR, la Commissione Europea ha il potere di verificare che, grazie alla sua legislazione nazionale o ad impegni internazionali, il Paese terzo destinatario dei dati assicuri un livello di protezione adeguato. In mancanza di una decisione di adeguatezza, le deroghe previste dall’art. 49 del GDPR non risultano essere applicabili per cui un trasferimento di dati personali può essere effettuato solo se il soggetto – stabilito nella UE - che comunica i dati (società private, enti pubblici, ecc. o soggetti incaricati/convenzionati con queste), preveda garanzie adeguate, le quali possano risultare, in particolare, da clausole tipo (c.d. CCS – Clausole Contrattuali Standard) di protezione dei dati adottate dalla Commissione, e se gli interessati dispongano di diritti azionabili e di mezzi di ricorso effettivi nel paese terzo.

La corte di Giustizia ha dichiarato che:

  • l’autorità di controllo competente è tenuta a sospendere o a vietare un trasferimento di dati verso un paese terzo effettuato sulla base di clausole tipo di protezione dei dati adottate dalla Commissione, qualora detta autorità di controllo ritenga, alla luce del complesso delle circostanze proprie di tale trasferimento, che le suddette clausole non siano o non possano essere rispettate in tale paese terzo e che la protezione dei dati trasferiti richiesta dal diritto dell’Unione, segnatamente dagli articoli 45 e 46 di tale regolamento e dalla Carta dei diritti fondamentali, non possa essere garantita con altri mezzi, ove il titolare del trattamento o il responsabile del trattamento stabiliti nell’Unione non abbiano essi stessi sospeso il trasferimento o messo fine a quest’ultimo.
  • la decisione di esecuzione (UE) 2016/1250 della Commissione, del 12 luglio 2016, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy, è invalida.

Per tale motivazione, considerato che il Privacy Shield costituisce decisione di adeguatezza verso gli USA e considerando che tale accordo è stato dichiarato invalido, è necessario procedere con una revisione degli accordi con i fornitori (Responsabili del Trattamento) al fine di verificare se tra i paesi destinatari di dati personali (in maniera diretta o indiretta) figurino gli USA e quale sia la modalità normativa concordata per il trasferimento dei dati (se si basi o meno sul c.d. Privacy Shield o su Clausole Contrattuali Standard – decisione 2010/87). 

Gli ambiti interessati dalla decisione della Corte Europea sono costituiti – tra i tanti – da: 

  • contratti di fornitura di servizi (anche in Cloud);  
  • partnership a vario titolo la cui esecuzione comporti il trasferimento di dati personali negli USA da parte di uno o più interlocutori appartenenti alla catena di fornitura; 
  • svolgimento di studi clinici;
  • ecc.

Da considerare inoltre che, in base alla FAQ n.5 dell’European Data Protection Board (c.d. “EDPB”) del 23 luglio 2020, al fine di non dover sospendere i trattamenti che prevedano il trasferimento di dati negli USA è necessario procedere con una valutazione di impatto sulla protezione dei dati personali (Data Protection Impact Assessment – DPIA) per ognuno di tali trattamenti al fine di poter valutare ed adottare eventuali misure integrative. Alla luce della sentenza in oggetto, considerando che, “le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autorità statunitensi, dei dati trasferiti dall’Unione verso tale Paese terzo, e che sono state valutate dalla Commissione nella decisione 2016/1250, non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dal principio di proporzionalità”, l’esito della valutazione dovrà essere notificato al Garante Privacy (Authority Nazionale) al fine di poter ricevere indicazioni finalizzate all’individuazione di misure di sicurezza e cautele tali da poter garantire un trasferimento di dati personali adeguato.

Nell’attesa di ricevere da parte delle autorità garanti europee e nazionale delle indicazioni più precise sulle modalità di risoluzione della problematica, si consiglia di procedere come appresso schematizzato.

Per i trattamenti di dati personali in essere:

  • se la base giuridica del loro trasferimento è fondata sul Privacy Shield: sospendere i trasferimenti di dati personali (attualmente previsti da contratti di fornitura, convenzioni, studi clinici e partnership a vario titolo);
  • se la base giuridica del loro trasferimento è fondata su Clausole Contrattuali Standard (CCS): il Titolare o il Responsabile devono verificare, caso per caso, la sussistenza di idonee garanzie a protezione dei dati personali negli USA e prevedere, eventualmente, garanzie supplementari nel caso in cui quelle assicurate dalle CCS non siano ritenute sufficienti.

Per i trattamenti di dati personali da compiere:

  • verificare che gli stessi non prevedano trasferimenti di dati negli USA.

Nel caso in cui nei sopra indicati trattamenti risultino essere indispensabili i trasferimenti di dati negli USA, è necessario procedere con specifiche valutazioni di impatto sulla protezione dei dati (DPIA). 

Qualora a seguito di una DPIA emerga che il trattamento presenta rischi elevati per i diritti e le libertà delle persone fisiche e il rischio non possa essere ragionevolmente attenuato alla luce delle tecnologie disponibili e dei costi di attuazione, il titolare del trattamento dovrà consultare l’Autorità di controllo prima di intraprendere l’attività di trattamento. 

 

La tua opinione ci interessa

Accedi per poter inserire un commento

Sei già utente di FISCOeTASSE.com?
ENTRA

Registrarsi, conviene.

Tanti vantaggi subito accessibili.
1

Download gratuito dei tuoi articoli preferiti in formato pdf

2

Possibilità di scaricare tutti i prodotti gratuiti, modulistica compresa

3

Possibilità di sospendere la pubblicità dagli articoli del portale

4

Iscrizione al network dei professionisti di Fisco e Tasse

5

Ricevi le newsletter con le nostre Rassegne fiscali

I nostri PODCAST

Le novità della settimana in formato audio. Un approfondimento indispensabile per commercialisti e professionisti del fisco

Leggi anche

INTELLIGENZA ARTIFICIALE · 10/10/2024 Cybersicurezza: Direttiva UE 2022/2557 CER e decreto attuativo

Cos'è la direttiva UE 2022/2557 CER (Critical entities resilience) per la sicurezza fisica e cibernetica dell'Unione europea da attuare entro il 18 ottobre. Il decreto attuativo

Cybersicurezza: Direttiva UE 2022/2557 CER e decreto attuativo

Cos'è la direttiva UE 2022/2557 CER (Critical entities resilience) per la sicurezza fisica e cibernetica dell'Unione europea da attuare entro il 18 ottobre. Il decreto attuativo

Oblio oncologico: chiarimenti dal Garante Privacy

Il Garante per la privacy chiarisce con FAQ la nuova legge sull'oblio oncologico: quando fare domanda; le novità per le adozioni

Oblio oncologico:  tutte le regole e i modelli di certificazione

Pubblicato il decreto attuativo legge n. 193 2023 sull'oblio oncologico per lavoro, mutui assicurazioni: tabella tempi patologie, modello richiesta e certificazione del diritto

L'abbonamento adatto
alla tua professione

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

Maggioli Editore

Copyright 2000-2024 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.

Pagamenti via: Pagamenti Follow us on:

Follow us on:

Pagamenti via: Pagamenti

Maggioli Editore

Copyright 2000-2021 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.