La Corte di Giustizia dell’Unione Europea lo scorso 16 luglio ha dichiarato non valido il Privacy Shield con una sentenza storica che inizia con queste parole: “La Corte dichiara invalida la decisione 2016/1250 della Commissione sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy”.
Questo atto non è certamente irrilevante, perché il Garante europeo ha di fatto annullato l’accordo tra Stati Uniti e Unione Europea sulla protezione dei dati e tutt’ora sta cercando di definire linee guida per superare l’impasse.
Cerchiamo di capire meglio cosa è successo e quali sono gli effetti per le aziende.
Privacy Shield: cos’è?
Il Privacy Shield (lett. “scudo per la privacy”) non è altro che un accordo tra Stati Uniti d’America e Unione Europea che stabilisce la necessità di un’autocertificazione per le società americane che ricevono dati personali dall’Europa in cui esse dichiarano di ottemperare ai principi descritti in questo documento.
La storia del patto inizia nel 2013 con una denuncia contro Facebook fatta da Maximilian Schrems al Data Protection Commissioner irlandese. La sentenza del 2015, denominata Schrems II, ha invalidato il precedente accordo internazionale “Safe Harbor”.
Nel 2016 viene introdotto al suo posto il Privacy Shield, ora annullato dalla sentenza Schrems II, così chiamata proprio perché il promotore della prima causa ne ha intentato una seconda nel 2018.
Il ruolo del GDPR
Come ormai sappiamo, dal 2018 nell’Unione Europea è attivo il General Data Protection Regulation, comunemente chiamato GDPR o, in italiano, RGPD (Regolamento Generale sulla Protezione dei Dati).
Il GDPR si basa su un principio fondamentale che giustifica l’annullamento del Privacy Shield: i Paesi extra-UE, o “Paesi Terzi”, devono avere un adeguato livello di sicurezza per poter trattare e gestire i dati personali dei cittadini europei.
A fronte di diverse sentenze che comprovano che gli USA continuano nelle loro pratiche di sorveglianza della popolazione, è stata cancellata la cosiddetta “decisione di adeguatezza”, una sorta di accordo in cui l’UE dichiara conforme un Paese, in questo caso gli Stati Uniti.
Ciò significa che prima un’azienda
europea poteva trasferire dati a una americana senza nessun problema,
mentre ora può farlo solo definendo e utilizzando nuovi strumenti giuridici,
come:
- Deroghe dell’art. 49 GDPR
- SCC (Standard Contractual Clauses)
- BCR (Binding Corporate Rules)
Per fare un esempio “pratico”, ora la posta elettronica appoggiata a Microsoft (365), Google (Gmail) e altri big americani, è di fatto fuori legge, quindi occorre trovare in fretta una decisone di adeguatezza alternativa, che va documentata sulle pratiche del GDPR di ogni azienda.
Privacy, sicurezza dati personali e aziende: in conclusione
Si stima che l’80% delle aziende si troveranno a dover fare i conti con questo notevole cambiamento.
È indispensabile provvedere al più presto e individuare lo strumento legale e sicuro da utilizzare per trasferire dati verso gli Stati Uniti.
In attesa di norme più chiare da parte del Garante europeo gli imprenditori devono prendere contatti con partner specializzati in tecnologie e tutela della privacy, così da iniziare un percorso che porti alla soluzione ideale.
Privacy Shield e GDPR: chiedi a Tecnoservice
Tecnoservice può offrire consulenza per individuare soluzioni adatte alle esigenze di ogni singolo cliente, inclusi lo studio dei costi e degli aspetti finanziari.
Ci occupiamo da tempo di cybersecurity e di sistemi di gestione privacy. Il nostro sistema di gestione privacy comprende tutte le regole del GDPR e consente di arrivare alla conformità (compliance).
