Indice dei contenuti
La Corte di Giustizia dell’Unione europea (CGUE) si è pronunciata lo scorso 16 luglio, con la cosiddetta “Sentenza Schrems II”, in merito al regime di trasferimento dei dati personali tra l’Unione europea e gli Stati Uniti, invalidando la decisione di adeguatezza del cosiddetto “Privacy Shield”.
Tale pronuncia ha rimesso in discussione i presupposti per un lecito trasferimento dei dati personali verso gli Stati Uniti, in quanto l’ordinamento di questi ultimi non sembra prevedere ad oggi strumenti in grado di garantire un trattamento conforme ai principi del GDPR, specie per quanto riguarda il possibile trattamento da parte di soggetti pubblici.
Gli interventi correttivi dello EDPB e della Commissione Europea
Lo European Data Protection Board è intervenuto al fine di identificare valide alternative al sistema invalidato dalla sentenza della CGUE, estendendo il ragionamento alla definizione di un framework di clausole e misure che possano operare nei trasferimenti verso tutti i Paesi terzi.
Contemporaneamente, la Commissione Europea ha emanato, come previsto dall’Art. 28 comma 7 del GDPR, clausole standard per la nomina dei responsabili del trattamento, che riportano anche regole specifiche per i casi nei quali la nomina comporti anche trasferimento in Paesi terzi.
Tali clausole rivestono particolare importanza in quanto una parte rilevante dei trasferimenti sono la conseguenza di affidamenti a responsabili del trattamento che in tali Paesi terzi operano, come risultato dell’utilizzo di applicazioni o servizi di terzi che, a volte inconsapevolmente, possono essere incorporati in siti o piattaforme gestite dal Titolare del trattamento.
Le clausole standard per il trasferimento verso Paesi Terzi
Le clausole standard si basano sui seguenti principi:
- Esplicitazione delle misure di sicurezza adottate dall’esportatore e dall’importatore;
- Messa a disposizione dell’interessato delle clausole sottoscritte tra esportatore e importatore;
- Trasparenza nella filiera dell’esportazione;
- Creazione di un punto di contatto diretto tra l’interessato e l’importatore.
Tali principi trovano inoltre una trasposizione specifica con riferimento alla presenza di adeguate garanzie nel paese dove opera l’esportatore, nel rispetto di quanto ribadito anche dalla Sentenza Schrems II:
- Esplicitazione e garanzia sulla preventiva verifica delle legislazioni e delle prassi locali che possono incidere sulla applicazione delle clausole e sui conseguenti diritti attribuiti all’interessato;
- Obbligo per l’importatore di comunicare all’esportatore e all’interessato:
- eventuali richieste di accesso da parte di autorità pubbliche;
- eventuali accessi dei quali sia venuto a conoscenza.
Dove una norma di legge gli impedisca di effettuare la comunicazione, l’importatore deve comunque documentare quale è stata la condizione ostativa e di avere provato a richiedere un’esenzione all’autorità pubblica.
In conclusione, anche in questo caso risulta fondamentale un’analisi dei rischi preventiva e l’adozione di misure tecniche, organizzative e procedurali, tutte attività che fanno parte della consulenza in Privacy e GDPR offerta dai professionisti di Neostudio.
