Reazione in tre mosse per l'export di dati fuori dall'Europa: esaminare se effettivamente c'è bisogno dei servizi di un fornitore extra Ue verificare con un'analisi «caso per caso» se la privacy è adeguatamente tutelata nel paese terzo; in caso negativo, rinegoziare eventuali clausole contrattuali, passare a un'altra base giuridica o cessare il trasferimento dei dati. Queste in sintesi le risposte del Comitato europeo per la protezione dei dati ai quesiti più frequenti sugli effetti della sentenza della Cgue sul Privacy Shield.
Lo scorso 4 giugno la Commissione Europea ha adottato una nuova Decisione relativa alle c.d. Standard Contractual Clauses ("SCC"), in materia, tra l'altro, di trasferimento di dati personali verso paesi terzi. Si ricorda che le SCC costituiscono uno degli strumenti posti a garanzia del trasferimento di dati fuori dall'Unione Europea ai sensi di quanto previsto dall'art. 46 c. 2 lett. c) GDPR, e quindi una delle ipotesi che rendono legittimo tale trasferimento.
La nuova Decisione di Adeguatezza, intervenuta il 28 giugno a favore del Regno Unito, è stata accolta con un sospiro di sollievo da entrambi i lati della Manica, in quanto mancavano solamente 48 ore allo scadere del periodo di grazia contrattato tra le parti tramite l’Accordo di Scambio e Cooperazione UE – UK. Una delle novità rispetto alle precedenti decisioni di adeguatezza è l’inserimento di una c.d. “sunset clause”, traducibile in italiano con “clausola di caducità” (anche se spesso si preferisce non tradurre il termine).
La notizia ormai è nota e ha fatto il giro dell’Europa e di Internet, attraversando poi l’oceano e sbarcando a Washington: con un provvedimento adottato il 9 giugno 2022 il Garante per la protezione dei dati personali ha accertato che i trasferimenti di dati personali negli Usa necessari al funzionamento del servizio Google Analytics, leader di mercato nei servizi di analisi di traffico e contatti di un sito internet, sono incompatibili con la disciplina europea sulla protezione dei dati personali o, più precisamente, lo è lo specifico trasferimento di dati personali posto in essere da uno delle migliaia di clienti italiani di Google: quello oggetto dell’istruttoria conclusasi, appunto, con l’adozione del provvedimento.
Dopo l’invalidazione del Privacy Shield, decisa dalla Corte di Giustizia dell’UE il 16 luglio 2020 nella causa C-311/18, (nota come "Schrems II"), migliaia di imprese ed enti che si scambiano informazioni con i propri partner d’oltreoceano rischiano di affogare nelle sopraggiunte complicazioni per il trasferimento di dati all’estero. Ma adesso un prezioso salvagente arriva dall’European Data Protection Board con le misure supplementari richieste per ricorrere lecitamente alle clausole contrattuali standard (SCC).
Il Presidente USA Biden, con l’ Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities firmato il 7 ottobre si è mosso lungo la road map dell’intesa raggiunta a marzo con la Commissione UE per il varo di un nuovo sistema che sostituisca il Privacy Shield, volto alla ripresa del trattamento / trasferimento oltreoceano dei dati personali.
Il tema del presente contributo è il turbamento o la modificazione che la guerra iniziata lo scorso 24 febbraio (con le reazioni che ne sono seguite da parte della Unione Europea in termini di provvedimenti di divieti di vendite e/o acquisti, di esportazioni ed importazioni di determinati beni e/o servizi) abbia prodotto e produrrà anche in fatto di trasferimenti di dati personali, sotto il profilo giuridico e con riguardo ai rischi concreti che possono/potrebbero correre i dati personali oggetto di trasferimento (e i diritti degli interessati, naturalmente).
Il Regolamento UE 2016/679 disciplina il trasferimento dei dati extra-UE al fine di garantire che non sia pregiudicato il livello di protezione assicurato alle persone fisiche, in relazione ai trattamenti di dati personali, quando i dati siano trasferiti a soggetti stabiliti al di fuori dello Spazio Economico Europeo e in luoghi non soggetti al diritto di uno Stato membro in virtù del diritto internazionale pubblico (le disposizioni sul trasferimento si completano combinandosi con la lettura dell'art. 3, concernente l'ambito di applicazione territoriale).
È in programma per mercoledì 4 maggio 2022, il corso "I trasferimenti di dati all'estero", che ha l’obiettivo di fornire ai partecipanti un quadro generale aggiornato sulla disciplina del trasferimento dei dati personali all'estero per evitare le sanzioni previste dal Regolamento UE 2016/679 (Gdpr). L’incontro formativo tratta tutte le principali casistiche in cui è implicato il trasferimento dei dati personali verso Paesi terzi o organizzazioni internazionali, a analizza una disciplina che è particolarmente soggetta a principi e criteri interpretativi che presentano molte criticità che si incrociano con numerosi adempimenti e istituti previsti dal Regolamento europeo.
Continua il negoziato per migliorare il livello di efficacia della protezione dei dati personali negli Stati Uniti e nella seconda relazione della Commissione europea sono evidenziati alcuni passi in avanti ed altri di massima rilevanza ancora da compiere.
