Schrems II: cosa succede al trasferimento transfrontaliero di dati
Schrems II: la Corte di Giustizia dell’Unione Europea ha dichiarato invalida, con una storica sentenza datata 16 Luglio 2020, la Decisione n. 2016/1250 della Commissione Europea sull’adeguatezza della protezione offerta dal regime dello Scudo UE-USA per la privacy.
In aggiunta, la Corte ha comunque giudicato valida la Decisione n. 2010/87 relativa alle Clausole Contrattuali Tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi.
Cosa implica questo per il tuo programma privacy?
Clausole Contrattuali Tipo – Standard Contractual Clauses (‘SCCs’)
La Corte dichiara che, dall’esame della Decisione n. 2010/87, ed alla luce della Carta dei diritti fondamentali dell’Unione Europea, le Clausole Contrattuali Tipo mantengono la loro validità.
La Corte precisa che il livello di protezione richiesto nell’ambito di un trasferimento fuori dall’EU deve sostanzialmente equivalere a quello garantito all’interno dell’UE dal GDPR.
Nello specifico, la valutazione di tale livello di protezione deve prendere in considerazione:
- ciò che è stabilito contrattualmente tra l’esportatore dei dati stabilito nell’UE e il destinatario del trasferimento stabilito nel paese terzo
- per quel che riguarda un eventuale accesso da parte delle pubbliche autorità del paese terzo ai dati trasferiti, gli elementi del sistema giuridico del paese terzo.
In aggiunta, la Corte stabilisce che i Garanti europei devono sospendere o vietare un trasferimento di dati personali verso un paese terzo quando ritengono che:
- le Clausole Contrattuali Tipo non siano o non possano essere rispettate nel paese terzo; e
- la protezione dei dati trasferiti, richiesta dal diritto dell’UE, non possa essere garantita in altro modo.
In conclusione, la Corte ritiene che le Clausole Contrattuali Tipo consentano, in pratica, di garantire che sia rispettato il livello di protezione richiesto dal diritto dell’UE, e che i trasferimenti di dati personali, basati su queste clausole, siano sospesi o vietati quando le clausole vengano violate o quando sia impossibile rispettarle.
Scudo UE-USA per la privacy – EU-US Privacy Shield
La Corte, come anticipato, ha dichiarato invalida la decisione della Commissione Europea sull’adeguatezza della protezione offerta dallo Scudo UE-USA per la privacy, dopo una valutazione alla luce del GDPR.
Nello specifico, la Corte stabilisce che la normative degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autorità statunitensi, di dati provenienti dall’UE, presenta delle limitazioni che non rispettano gli standard di adeguatezza richiesti dal diritto dell’UE, alla luce del principio di proporzionalità. La Corte ritiene infatti che i programmi di sorveglianza fondati sulla normativa USA non si limitino a quanto strettamente necessario.
Infine, la Corte giudica il meccanismo di mediazione previsto dallo scudo UE-USA per la privacy non sufficiente dal punto di vista delle garanzie offerte. Infatti, la sentenza stabilisce che il meccanismo non fornisce ai soggetti interessati un mezzo di ricorso ad un organo che offra garanzie equivalenti a quelle previste del diritto dell’UE dal punto di vista dell’indipendenza e del valore vincolante delle decisioni dell’organo mediatore nei confronti dei servizi di intelligence statunitensi.
Per tutte queste ragioni la Corte dichiara invalida la decisione 2016/1250.
Questa sentenza ha un impatto notevole sulla gestione del tuo programma privacy.
Per informazioni su come OneTrust può supportarti in questo momento scrivi a [email protected], siamo qui per aiutarti o visita la nostra pagina dedicata a Schrems II.
Condividi l'articolo
