La vostra azienda trasferisce dati personali dall’UE (Regno Unito incluso) agli Stati Uniti?

In caso affermativo potreste aver bisogno di assistenza per gestire le complessità derivanti dalla sentenza Schrems II del luglio 2020 e assicurarvi che il trasferimento dei dati della vostra azienda sia conforme alla nuova regolamentazione.

I nostri consulenti hanno le capacità analitiche, le competenze e l’esperienza pratica per poter lavorare al vostro fianco al fine di introdurre le nuove procedure.

Schrems II: che cos’è e come può influenzare la mia azienda?

La sentenza Schrems II, entrata in vigore il 16 luglio 2020, modifica il processo di trasferimento dei dati personali tra l’UE e gli Stati Uniti per le aziende.

Il Privacy Shield (scudo sulla privacy) UE – USA, , che permetteva di trasferire i dati in maniera conforme, è stato eliminato a luglio dalla Corte di Giustizia dell’Unione Europea con effetto immediato, in quanto ritenuto incompatibile con le tutele garantite e richieste dal diritto comunitario.

Nonostante il Privacy Shield UE-USA per la privacy sia stato completamente abolito, le clausole contrattuali standard (CCS) sono ancora in vigore, seppur soggette a vincoli severi. Di fatto, rispettare le CCS non è sufficiente a soddisfare i requisiti per il trasferimento previsti dal Regolamento Generale sulla Protezione dei Dati dell’UE (GDPR). Le aziende devono innanzitutto svolgere una valutazione al fine di assicurarsi che i soggetti interessati godano delle tutele necessariee di mezzi di ricorso efficaci. Di conseguenza è necessario considerare le disposizioni delle CCS e il diritto vigente nel Paese di importazione dei dati per ogni singolo caso, in quanto potrebbero essere necessarie ulteriori garanzie al fine di porre rimedio a eventuali carenze (ad esempio il criptaggio dei dati personali in transito).

Le aziende dell’UE si rivolgono alle proprie autorità nazionali di protezione dei dati per ricevere istruzioni, sebbene le diverse autorità abbiano visioni differenti rispetto al modo di procedere. Nonstante il trasferimento internazionale dei dati non possa fermarsi, le condizioni rimangono incerte.

Chi ha introdotto questi requisiti e perché?

Il caso Schrems II ha avuto origine nel 2015, quando Max Schrems, un attivista per la privacy austriaco ha denunciato il Commissario irlandese per la protezione dei dati, sostenendo che il trasferimento dei propri dati personali da Facebook Ireland alla casa madre negli Stati Uniti, conforme alle CCS, non tutelasse i diritti sanciti dalle norme UE, in quanto privi di garanzie contro l’eventuale controllo da parte di autorità pubbliche statunitensi. 

In seguito all’annullamento della sentenza Schrems I, l’Irlanda è ricorsa a un rinvio pregiudiziale presso la Corte di Giustizia, la quale ha invalidato la decisione sul Privacy Shield UE-USA al quale non è più possibile fare ricorso per il trasferimento dei dati tra l’UE e gli USA (Schrems II).

Chi è interessato da questa misura?

La sentenza Schrems II si rivolge a tutte le aziende europee che trasferiscono dati personali al di fuori dell’UE, in particolare verso gli Stati Uniti, alla luce della decisione sul Privacy Shield UE-USA. Le aziende stanno ancora cercando di capire il proprio livello di esposizione, ma al momento tre cose sono certe:

1. Le aziende che in passato facevano ricorso al Privacy Shield UE-USA per il trasferimento oltre oceano dei dati devono introdurre garanzie alternative.
2. I Paesi devono verificare il livello di protezione dei dati garantito nel “Paese terzo”, ovvero il Paese esterno all’UE. Ciò richiede il monitoraggio degli aspetti salienti dell’ordinamento giuridico di tali Paesi da integrare nei programmi di conformità.
3. La Commissione europea ha confermato che sta elaborando strumenti alternativi per la trasmissione dei dati personali ed il successivo sviluppo di nuove tutele.

Da dove cominciare 

La nostra checklist per Schrems II permette di identificare gli elementi che gli uffici Acquisti, Legale e Regulatory Compliance devono verificare prima di introdurre procedure conformi ai criteri per il trasferimento dei dati personali tra l’Unione europea e gli Stati Uniti.