Trasferimento dati extra UE: in arrivo un nuovo accordo con gli Stati Uniti

È notizia di pochi giorni fa ma è destinata a far parlare di sè: un nuovo accordo per il trasferimento di dati personali dall’Europa agli Stati Uniti sarebbe alle porte.

 

“sono lieta di aver trovato un accordo di principio su un nuovo quadro per i flussi di dati transatlantici. Ciò consentirà flussi di dati prevedibili ed affidabili tra l’UE e gli Stati Uniti, salvaguardando la privacy e le libertà civili.”

 

A darne l’annuncio è il presidente della Commissione Europea Ursula Von der Leyen in occasione dell’incontro avvenuto a Bruxelles con il presidente americano Joe Biden.

 

Ma perchè è così importante?

 

Andiamo in ordine.

 

Per comprendere la portata di un nuovo accordo per il trasferimento oltreoceano dei dati personali occorre ripercorrere in breve le tappe che hanno segnato il rapporto tra UE e gli Stati Uniti in relazione a tale ambito.

 

  1. Safe Harbor (2000): decisione di adeguatezza che consente il libero trasferimento dei dati di cittadini europei verso gli Stati Uniti da parte delle multinazionali europee.

 

  1. Shrems I (2015): la Corte di Giustizia dell’Unione Europea, in seguito alla denuncia nei riguardi di Facebook per violazione della privacy da parte dell’attivista austriaco Maximilian Shrems, annulla l’accordo Safe Harbor emettendo la c.d. “sentenza Shrems”.

 

  1. Privacy Shield (2016): nuovo accordo tra Europa ed America, contestato dal Garante Europeo per la protezione dei dati personali.

 

  1. Shrems II (2020): con la sentenza C-311/2018 del 16 luglio 2020 la Corte di Giustizia dell’Unione Europea dichiara invalido il Privacy Shield, alla luce dei trattamenti posti in essere dalle Autorità americane mediante i programmi di sorveglianza che vanno ben oltre il principio di proporzionalità proprio del GDPR.

 

Dal 2020, dunque, i trasferimenti tra UE e USA sono considerati non sicuri in quanto privi di una decisione di adeguatezza alla base ovvero di garanzie che assicurino un trattamento dei dati in conformità con quanto previsto dal Regolamento Europeo in materia di protezione dei dati personali (GDPR).

 

Nella pratica, ciò sta a significare che tutti i trattamenti che prevedono un trasferimento dei dati dall’Europa all’America – e sono tanti, si pensi a tool online quali MailChimp ed i tanti strumenti messi a disposizione da Google con server negli USA – sono considerati illegittimi, a meno che l’esportatore di dati sito in Europa non faccia uso delle Clausole Contrattuali Standard (SCC) della Commissione Europea in aggiunta all’implementazione di misure di sicurezza ad hoc rispetto al caso concreto. In sostanza, un qualcosa di complessa e rara attuazione.

 

Purtuttavia, in questo lasso di tempo i dati hanno continuato a migrare oltreoceano con tutti i rischi annessi inerenti alla loro tutela e sicurezza.

 

Il nuovo accordo annunciato, quindi, potrebbe tradursi in una svolta importante al fine di legittimare soprattutto i trattamenti operati dai colossi multinazionali con sede in America o comunque con server sul suolo americano.

 

Non si dimentichi, per l’appunto, che appena quattro mesi addietro il Garante Austriaco per la protezione dei dati personali ha dichiarato illegale l’utilizzo del noto tool di tracciamento di casa Google (Google Analytics) – proprio in quanto i dati, in grado di identificare i singoli utenti, sono oggetto di trasferimento negli Stati Uniti – causando non pochi problemi di compliance per tutti i titolari del trattamento di aziende, di piccole o grandi dimensioni, che per necessità lavorative utilizzano il suddetto strumento col rischio di incorrere in sanzioni previste dal GDPR.

 

Si attendono sviluppi, dunque, in merito alla definizione del nuovo accordo e qualche dettaglio in più potrebbe emergere nei prossimi mesi, soprattutto in occasione del Trade and Technology Council tra Europa e Stati Uniti.

 

Non ci resta che attendere.

 

Nell’attesa, se vuoi sapere quali tool utilizzare per non rischiare di incorrere in sanzioni o se hai bisogno di supporto in materia di compliance al GDPR, sentiti libero di contattarci prenotando una call dal Calendly che trovi di seguito.

 

Possiamo fornirti assistenza occasionale o continuativa a seconda delle tue necessità.

 

 

Avv. Ignazio M. Francesco Guaglione