Gran parte dei titolari del trattamento (dalle aziende alle P.A.) trasferiscono (a volte senza saperlo) dati dei cittadini europei negli Stati Uniti, ad esempio utilizzando servizi cloud forniti da Google, Dropbox o Microsoft, oppure utilizzando altri servizi informatici (come i CRM e gli strumenti per il marketing).
Fino al 2020, questo trattamento avveniva sotto l’egida del famoso “Privacy Shield”, il quale imponeva alle aziende statunitensi aderenti principi di protezione equiparabili a quelli del GDPR per poter trattare e trasferire dati personali dei cittadini europei in USA.
Tuttavia, nel luglio 2020, la famosa “Sentenza Schrems II” della Corte di Giustizia europea sanciva l’invalidità del Privacy Shield, decretandone la fine. È inutile negare che in questi anni si è navigato in un “limbo”: da un lato alcune big tech americane hanno ridefinito le procedure di conservazione dei dati, privilegiando i server europei; dall’altro le aziende più virtuose hanno adeguato le proprie procedure tendando di seguire le linee guida dell’EDPB del 10/11/2020 (ne abbiamo parlato qui). Molti altri titolari hanno invece continuato ad utilizzare gli stessi servizi usati in precedenza, confidando che il Garante non avrebbe calato la scure in questa situazione di incertezza e difficile applicazione della normativa alla realtà dei modelli di relazione e di business.
A porre (momentaneamente) fine a questa incertezza ci ha pensato la Commissione Europea con l’approvazione del “EU-US Data Privacy Framework”, ovvero il nuovo accordo sul trasferimento dei dati verso gli Stati Uniti. Con la pubblicazione della nuova decisione di adeguatezza del 10 luglio 2023, l’UE ha formalmente riconosciuto che adesso sussistono garanzie sufficienti per la protezione dei dati personali dei cittadini dell’UE trattati nel territorio statunitense, nonché tutele legali che insieme ai nuovi parametri sono in grado di limitare l’invasivo operato delle agenzie di intelligence Usa.
Non appena otterranno una certificazione ad hoc presso le autorità americane, come del resto previsto anche dal vecchio Privacy Shield, sistemi come quelli di Google e Microsoft torneranno ad essere totalmente compliant.
Attenzione però, non è tuttavia ancora chiaro se questa nuova decisione di adeguatezza reggerà e per quanto. Non solo perché lo stesso Parlamento Europeo, solamente due mesi fa, aveva giudicato le misure USA insufficienti per garantire la protezione dei dati degli europei, invitando la Commissione Ue a riaprire i negoziati; ma, soprattutto, perché l’Avv. Max Schrems, leader dell’organizzazione NOYB, ha già annunciato che presenterà ricorso alla Corte di Giustizia dell’UE.
Considerando che l’Avv. Schrems è noto per le due sentenze della suprema Corte europea che portano il suo cognome, le quali avevano già invalidato i due precedenti “scudi UE-USA” che regolavano il trasferimento dei dati oltreoceano, è possibile che non ci sia due senza tre.
Pertanto, si consiglia la massima prudenza nell’invio di dati negli Stati Uniti, continuando a preferire operatori europei ove possibile ed a seguire le linee guida dell’EDPB sopracitate. L’obiettivo dovrebbe essere quello di costruire un modello di business che possa resistere senza grossi cambiamenti anche ad un eventuale assenza di “scudi” per il trasferimento, come ad esempio si verificherebbe nel caso di invalidazione anche del nuovo “EU-US Data Privacy Framework”.
COME POSSIAMO AIUTARTI?
Se non è tua intenzione confidare in un gattopardiano “Privacy Shield 4”, puoi verificare il corretto uso dei cloud aziendali ed il rispetto della normativa in materia di trasferimenti extra UE con il nostro TRANSFER RISK ASSESSMENT STRESS TEST! che comprende:
Chiamaci ora: 0541 1798723Gran parte dei titolari del trattamento (dalle aziende alle P.A.) trasferiscono (a volte senza saperlo) dati dei cittadini europei negli Stati Uniti, ad esempio utilizzando servizi cloud forniti da Google, Dropbox o Microsoft, oppure utilizzando altri servizi informatici (come i CRM e gli strumenti per il marketing).
Fino al 2020, questo trattamento avveniva sotto l’egida del famoso “Privacy Shield”, il quale imponeva alle aziende statunitensi aderenti principi di protezione equiparabili a quelli del GDPR per poter trattare e trasferire dati personali dei cittadini europei in USA.
Tuttavia, nel luglio 2020, la famosa “Sentenza Schrems II” della Corte di Giustizia europea sanciva l’invalidità del Privacy Shield, decretandone la fine. È inutile negare che in questi anni si è navigato in un “limbo”: da un lato alcune big tech americane hanno ridefinito le procedure di conservazione dei dati, privilegiando i server europei; dall’altro le aziende più virtuose hanno adeguato le proprie procedure tendando di seguire le linee guida dell’EDPB del 10/11/2020 (ne abbiamo parlato qui). Molti altri titolari hanno invece continuato ad utilizzare gli stessi servizi usati in precedenza, confidando che il Garante non avrebbe calato la scure in questa situazione di incertezza e difficile applicazione della normativa alla realtà dei modelli di relazione e di business.
A porre (momentaneamente) fine a questa incertezza ci ha pensato la Commissione Europea con l’approvazione del “EU-US Data Privacy Framework”, ovvero il nuovo accordo sul trasferimento dei dati verso gli Stati Uniti. Con la pubblicazione della nuova decisione di adeguatezza del 10 luglio 2023, l’UE ha formalmente riconosciuto che adesso sussistono garanzie sufficienti per la protezione dei dati personali dei cittadini dell’UE trattati nel territorio statunitense, nonché tutele legali che insieme ai nuovi parametri sono in grado di limitare l’invasivo operato delle agenzie di intelligence Usa.
Non appena otterranno una certificazione ad hoc presso le autorità americane, come del resto previsto anche dal vecchio Privacy Shield, sistemi come quelli di Google e Microsoft torneranno ad essere totalmente compliant.
Attenzione però, non è tuttavia ancora chiaro se questa nuova decisione di adeguatezza reggerà e per quanto. Non solo perché lo stesso Parlamento Europeo, solamente due mesi fa, aveva giudicato le misure USA insufficienti per garantire la protezione dei dati degli europei, invitando la Commissione Ue a riaprire i negoziati; ma, soprattutto, perché l’Avv. Max Schrems, leader dell’organizzazione NOYB, ha già annunciato che presenterà ricorso alla Corte di Giustizia dell’UE.
Considerando che l’Avv. Schrems è noto per le due sentenze della suprema Corte europea che portano il suo cognome, le quali avevano già invalidato i due precedenti “scudi UE-USA” che regolavano il trasferimento dei dati oltreoceano, è possibile che non ci sia due senza tre.
Pertanto, si consiglia la massima prudenza nell’invio di dati negli Stati Uniti, continuando a preferire operatori europei ove possibile ed a seguire le linee guida dell’EDPB sopracitate. L’obiettivo dovrebbe essere quello di costruire un modello di business che possa resistere senza grossi cambiamenti anche ad un eventuale assenza di “scudi” per il trasferimento, come ad esempio si verificherebbe nel caso di invalidazione anche del nuovo “EU-US Data Privacy Framework”.
COME POSSIAMO AIUTARTI?
Se non è tua intenzione confidare in un gattopardiano “Privacy Shield 4”, puoi verificare il corretto uso dei cloud aziendali ed il rispetto della normativa in materia di trasferimenti extra UE con il nostro TRANSFER RISK ASSESSMENT STRESS TEST! che comprende:
Chiamaci ora: 0541 1798723