Lo scorso 16 luglio La Corte di giustizia dell’Unione Europea ha invalidato il Privacy Shield, il meccanismo di autocertificazione per le società negli USA che intendevano ricevere dati personali dall’Unione Europea. Questo è avvenuto per mezzo della sentenza Schrems II, emanata in seguito ad una denuncia presentata contro Facebook dall’omonimo attivista, Maximillian Schrems.
La Corte sostiene che la normativa degli USA in tema di accesso e di utilizzo dei dati che vengono trasferiti dall’UE non soddisfi i principi base del GDRP, in quanto le autorità di controllo americane possono accedere ai dati per motivi di sorveglianza.
D’altronde, l’art. 46 del GDPR consentiva il trasferimento dei dati verso un Paese terzo solo se il titolare o il responsabile avesse fornito adeguate garanzie di protezione e tutela.

Una valida misura di garanzia poteva essere quella delle SCC, ossia le “Clausole Contrattuali Standard”, a protezione dei dati di cittadini UE nel momento in cui vengono trasferiti ad un Paese terzo. Tuttavia, la sentenza Schrems II si è pronunciata anche a questo proposito, vincolando l’utilizzo delle SCC unitamente a meccanismi di protezione dei dati che siano compatibili con quanto riportato all’interno del GDPR.
Ne deduciamo che la sentenza non abbia impattato solamente verso grandi nomi come Facebook, Apple o Microsoft, ma anche contro le imprese IT e chi si avvale di fornitori IT provenienti dagli USA.
D’ora in avanti, quindi, non sarà più possibile esportare i dati in USA sulla base di questa “decisione di adeguatezza”.
Cosa cambia effettivamente, dopo la sentenza Schrems II, per i titolari e i responsabili del trattamento? Qual è l’impatto sulla compliance privacy già effettuata? Chi, fino al 16 luglio era compliant essendosi adeguato in base alla normativa, deve modificare qualcosa oggi?
Ora spiegheremo come colmare il gap che si è creato nel trasferimento dei dati in USA dopo la sentenza Schrems II.

Ecco come devono comportarsi titolari e responsabili del trattamento dei dati.
Per adeguarsi sono necessarie tre azioni specifiche.

  • Titolari e responsabili dei dati devono:
  • Verificare dove risiedono i dati;
  • Richiedere un nuovo data processing agreement;
  • Modificare il registro dei trattamenti.

Analizziamo nello specifico ogni singolo passaggio.

  1. Verificare dove risiedono i dati
    Effettuare la verifica è un procedimento molto semplice. Occorre prendere il registro dei trattamenti e vedere cosa c’è scritto alla voce: “Garanzie adottate per il trasferimento extra UE”.
    A questa voce è necessario controllare se c’è il Privacy Shield. Dopodiché, occorre chiedere un nuovo atto di nomina.
  2. Richiedere/fornire una DPA
    Come noto, quando il titolare del trattamento dei dati affida una o più operazioni ad un soggetto estraneo alla propria azienda, deve nominarlo responsabile del trattamento.
    L’atto di nomina è un documento con cui formalmente, ai sensi dell’art.28, vengono impartite delle istruzioni. Tra le diverse istruzioni c’è anche quella di rispettare i dettami del Regolamento europeo in caso di trasferimento di dati extra UE.
    Si impone così la necessità di verificare che i fornitori di servizi a cui ci si è appoggiati abbiano modificato le condizioni di trasferimento e di chiedere un nuovo atto di nomina.
  3. Modificare il registro dei trattamenti
    Dopo aver ottenuto il nuovo accordo per il trattamento dei dati, occorre modificare il registro dei trattamenti indicando quali sono le nuove garanzie adottate.
    L’ultimo aspetto da prendere in considerazione nell’ambito del trasferimento dei dati in USA dopo la sentenza Schrems II è l’eventualità che le società non vogliano adeguarsi. In questo caso, l’unica soluzione è quella di cambiare fornitore.

Per ogni dubbio o richiesta a proposito del tema in esame, il nostro team di professionisti è a completa disposizione.