Il Privacy Shield è stato annullato per inadeguatezza

In data 16 Luglio 2020 il Privacy Shield è stato annullato. A dichiararlo è la sentenza della causa C-311/18, promossa dall’attivista Maximiliam Schrems. 

Risale al 2016 la decisione di esecuzione UE 2016/1250 della Commissione Europea con la quale si era stabilita l’adeguatezza del Privacy Shield sui trasferimenti dei dati personali dall’Unione Europea agli Stati Uniti d’America in ambito commerciale. Molte erano le perplessità che ruotavano attorno alla legittimità di questo strumento, tantoché su richiesta dell'attivista Schrems si è giunti a dichiararlo inadeguato. 

Schrems riteneva la legislazione americana inadeguata a fornire la giusta protezione dei cittadini europei e così la Corte di Giustizia Europea è intervenuta affermando che il grado di protezione garantito tramite il Privacy Shield effettivamente non è sufficiente e in linea con quello assicurato dall’UE. 
 

Privacy Shield che significa letteralmente “Scudo per la Privacy” è un accordo che formalizza un meccanismo di trasferimento dei dati dell’UE verso gli USA, qualora quest’ultima lo avesse richiesto. 

Potevano iscriversi a questo registro le società che si impegnavano nel rispettare i dettami in esso contenuti e a fornire tutti gli strumenti necessari di tutela per gli interessati, di cui vengono trattati i dati. 

Qualora una società non avesse rispettato quanto espresso in questo documento sarebbe stata automaticamente eleminata dalla lista delle società certificate.  

Avevano il diritto di presentare un’autocertificazione ai sensi del Privacy Shield le società aventi sede negli USA soggette a poteri di controllo della Federal Trade Commission o del Department of Transportation. 

 

La CGUE ha dichiarato nulla la decisione con cui si riteneva il Privacy Shield uno strumento adeguato a regolare il trasferimento di dati personali dall’Europa agli Stati Uniti.  Le motivazioni che sottendono tale decisioni sono da rintracciarsi nella mancata equivalenza di diritto dei due Paesi in materia di protezione dei dati personali. 

Questa si sostanzia ad esempio nell’eccessiva surveillance operata nei confronti dei cittadini europei che per nulla si attiene a quanto previsto dal diritto europeo. 

Inoltre, la tutela giurisdizionale prevista dall’ordinamento statunitense nei confronti degli interessati e dei loro diritti risulta essere inefficace, debole e troppo poco concorde a quelli che sono i principi europei in materia. 

 

Oltre alla valutazione di inadeguatezza del Privacy Shield la CGUE si espressa in merito al trasferimento di dati personali in altri Paesi Extra UE. In particolare, questo è rimasto valido anche a seguito dell’entrata in vigore del GDPR (il trasferimento dei dati è ripreso nell’articolo 46). 

Secondo tale decisione il titolare del trattamento e il soggetto del trasferimento dati possono concordare delle clausole contrattuali standard per il trasferimento di dati personali affinché sia garantita agli interessati il massimo grado di tutela dei loro diritti. 

Tuttavia, anche se la norma generale fa riferimento a quanto appena detto, per gli USA il discorso merita ulteriori precisazioni. 

Queste sono state espresse nella sentenza del 16 luglio 2020 nella causa C-311/18. 

Nello stipulare le cosiddette clausole contrattuali standard per il trasferimento di dati personali è necessario che sia il titolare, sia il destinatario verifichino con esattezza che il Paese terzo a cui si riferisce il flusso dei dati preveda la adozione delle norme di protezione dati esplicitate dal Diritto Europeo. Nel caso in cui questo non sussista, il destinatario del trasferimento ha l’obbligo di informare il titolare dell’impossibilità i adeguarsi alle clausole stabilite. 

Non sono affatto poche le aziende iscritte al Privacy Shield. Basti pensare che l’accordo è stato sottoscritto da più di 5.000 iscritti, di cui 1.000 solo nell’ultimo anno.  

Le conseguenze dell’abolizione del Privacy Shield ricadranno sulle aziende attive in tutto il mondo e comporteranno una revisione dei loro modelli organizzativi tecnici, che dovranno prediligere l’adozione di piattaforme cloud che abbiano i server in Paesi Europei. 

Gli effetti dell’annullamento del Privacy Shield purtroppo, si propagheranno su larga scala influendo negativamente sul PIL Europeo, visti gli intesti rapporti economici che intercorrono tra l’UE e gli USA. 

D’altra parte, sebbene le clausole standard siano rimaste invariate, occorrerà una maggiore vigilanza e una maggiore attenzione nei casi di trasferimento dati nei Paesi Extra UE. 

Nello specifico, il Titolare del trattamento avrà il dovere di analizzare con più attenzione l’adozione delle clausole contrattuali standard con i Paesi non europei e valutare il contesto normativo del Paese di riferimento, accertandosi che quest’ultimo risponda in modo congruo a quelle che sono le disposizioni europee.

 

Dopo l’entrata in vigore del GDPR le norme in materia di protezione di dati personali si sono fatte più severe e la violazione comporta multe salate per le aziende che non adottano tutti gli accorgimenti indispensabili affinché non accada un data breach. 

Sono molti gli eventi che possono comportare una violazione dei dati personali come ad esempio un foglio dimenticato per sbaglio sulla scrivania accessibile a qualsiasi soggetto aziendale. Purtroppo, la gestione cartacea ha dimostrato nel tempo di avere molte lacune a cui è possibile oggi porre rimedio con la digitalizzazione delle attività aziendali. 

On Privacy, a questo proposito è un software che consente a qualsiasi tipo di azienda di gestire la privacy aziendale in totale comodità e sicurezza. Infatti, con il nostro software è possibile avere un account personale con cui creare documenti privacy come informative e consensi in modo del tutto personalizzato e permette all’utente di firmalo con firma criptata. 

Oltre ad una semplificazione immediata della gestione privacy, il nostro software consente anche un notevole risparmio di costi dal momento che tutte le attività della gestione cartacea vengono assunte da un’unica soluzione.