Consigli pratici per la gestione del trasferimento dei dati dopo l’invalidamento del Privacy Shield

Consigli pratici per la gestione del trasferimento dei dati dopo l’invalidamento del Privacy Shield

di Paolo Balboni e Luca Bolognini

A cura degli avvocati Paolo Balboni e Luca Bolognini, soci fondatori di ICT Legal Consulting, studio legale internazionale costituito nel 2011 con sedi a Milano, Roma, Bologna, Amsterdam, Madrid, Helsinki e Melbourne, e presente attraverso studi professionali associati in altri ventotto paesi.


Privacy Shield invalidato
In data 16 luglio 2020 la Corte di Giustizia dell’Unione Europea ha invalidato la decisione di adeguatezza della Commissione UE sul cd. Privacy Shield relativa al trasferimento di dati tra l’Unione Europea e gli Stati Uniti (causa C‑311/18 “Schrems II”). Quindi, il Privacy Shield non può più costituire una valida base per il trasferimento di dati personali verso gli USA.

Considerazioni

  1. I trasferimenti dall’UE agli USA devono ora poggiarsi su una base legale diversa dal Privacy Shield;
  2. La Clausole contrattuali tipo rimangono, per il momento, in vigore e configurano un mezzo alternativo al Privacy Shield, allo stato, in linea di principio legittimo per trasferire i dati dall’UE agli USA;
  3. Attenzione, però perché permane la responsabilità dell’esportatore (Titolare del trattamento) di verificare che il Paese in cui è stabilito l’importatore permetta l’effettivo rispetto dei principi fondamentali UE e delle Clausole contrattuali tipo e di valutare gli eventuali rischi sui diritti e le libertà dei soggetti interessati, prima di procedere al trasferimento. D’altro canto, le Autorità di controllo potranno in ogni momento ordinare l’interruzione o la sospensione del trasferimento basato sulle Clausole contrattuali tipo, in caso ritengano che il Paese di destinazione dei dati non fornisca idonee garanzie di rispetto della legislazione in materia di protezione dei dati personali europea. Per tale ragione, non è da escludere che, in un futuro più o meno prossimo, alcune Autorità invalidino anche le Clausole contrattuali tipo utilizzate negli scambi con gli USA o con altri Paesi terzi, alla luce delle argomentazioni formulate dalla Corte di Giustizia UE. Sul punto si vedano per es. le posizioni particolarmente critiche dell’Autorità di BerlinoAmburgo e quella Olandese). ICO (l’Autorità britannica) ha invece pubblicato il seguente messaggio sul proprio sito: “We are currently reviewing our Privacy Shield guidance after the judgment issued by the European Court of Justice on Thursday 16 July 2020. If you are currently using Privacy Shield please continue to do so until new guidance becomes available. Please do not start to use Privacy Shield during this period.”

Cosa fare
Soggetti che agiscono come Titolari del trattamento
Occorre principalmente:

  1. Identificare i trasferimenti verso gli USA (es. dal Registro dei trattamenti ex art. 30 GDPR) e verificare la base legale: se questa è il Privacy Shield occorre individuare una nuova base giuridica (es., a mente di quanto sopra indicato, Clausole contrattuali tipo o, nei casi in cui eventualmente applicabili, una delle deroghe ex art. 49 GDPR, es. trasferimento di dati necessario all’esecuzione di un contratto di cui è parte l’interessato);
  2. Contattare i fornitori (Responsabili del trattamento) in maniera proattiva, per indicare che, nel caso i trattamenti a loro affidati comportino direttamente o a mezzo di sub-fornitori (sub-responsabili) trasferimenti verso gli USA fino ad ora regolati sulla base del Privacy Shield, occorrerà procedere all’individuazione di una nuova base giuridica (es., a mente di quanto sopra indicato, Clausole contrattuali tipo o, nei casi in cui eventualmente applicabili, una delle deroghe ex art. 49 GDPR, es. trasferimento di dati necessario all’esecuzione di un contratto di cui è parte l’interessato);
  3. Una volta completata la riorganizzazione dei trasferimenti verso gli USA su base giuridica diversa dal Privacy Shield, modificare coerentemente il Registro dei trattamenti (ex. art. 30 GDPR) e le informative rese ai sensi degli artt. 13-14 GDPR;
  4. Verificare e modificare coerentemente, più in generale, i riferimenti al Privacy Shield nella documentazione privacy del Titolare (es. policy, procedure, contratti etc.);
  5. Monitorare attentamente le attività delle Autorità di controllo competenti circa ulteriori interpretazioni e consigli pratici per allineare eventuali trasferimenti verso gli USA alla decisione della Corte di Giustizia dell’Unione Europea e più in generale alla normativa in materia di protezione dei dati personali applicabile (ad es. in caso di ulteriore invalidazione delle Clausole contrattuali tipo).

Soggetti che agiscono come Responsabili del trattamento
Occorre principalmente:

  1. Identificare i trasferimenti posti in essere direttamente o a mezzo di sub-fornitori (sub-responsabili) verso gli USA (es. dal Registro dei trattamenti Responsabile ex art. 30 GDPR) e verificarne la base legale: se questa è il Privacy Shield occorre concordare con il Titolare una nuova base giuridica (es., a mente di quanto sopra indicato, Clausole contrattuali tipo o, nei casi in cui eventualmente applicabili, una delle deroghe ex art. 49 GDPR, es. trasferimento di dati necessario all’esecuzione di un contratto di cui è parte l’interessato);
  2. Contattare i Titolari del trattamento in maniera proattiva per indicare che nel caso in cui i trattamenti affidati in qualità di Responsabili comportino direttamente o a mezzo di sub-fornitori (sub-responsabili) trasferimenti verso gli USA fino ad ora regolati sulla base del Privacy Shield occorrerà procedere all’individuazione di una nuova base giuridica (es., a mente di quanto sopra indicato, Clausole contrattuali tipo o, nei casi in cui eventualmente applicabili, una delle deroghe ex art. 49 GDPR, es. trasferimento di dati necessario all’esecuzione di un contratto di cui è parte l’interessato);
  3. Una volta completata la riorganizzazione dei trasferimenti verso gli USA su base giuridica diversa dal Privacy Shield, modificare coerentemente il Registro dei trattamenti Responsabile (ex. art. 30 GDPR);
  4. Verificare e modificare coerentemente i riferimenti al Privacy Shield nella documentazione privacy (es. nei contratti di trattamento dei dati “DPA” ex art. 28 GDPR).
  5. Monitorare attentamente le attività delle Autorità di controllo competenti circa ulteriori interpretazioni e consigli pratici per allineare eventuali trasferimenti verso gli USA alla decisione della Corte di Giustizia dell’Unione Europea e più in generale alla normativa in materia di protezione dei dati personali applicabile (ad es. in caso di ulteriore invalidazione delle Clausole contrattuali tipo).

Scopri di più sulla Masterclass AFGE su Privacy e trattamento dati.


Paolo Balboni (Ph.D.) è un avvocato esperto di diritto europeo delle nuove tecnologie, della privacy e protezione dei dati personali, inoltre fornisce servizi di Data Protection Officer (DPO) per società multinazionali. Professore di Privacy, Cybersecurity, and IT Contract Law presso lo European Centre on Privacy and Cybersecurity (ECPC) dell’Università di Maastricht. Lead Auditor BS ISO/IEC 27001:2013 (IRCA Certified). Avvocato del Foro di Milano e del Foro di Amsterdam. Paolo Balboni è Socio Fondatore di  ICT Legal Consulting (ICTLC) studio legale internazionale con sedi a Milano, Roma, Bologna, Amsterdam, Helsinki, Madrid e Melbourne e presente in altri ventotto paesi attraverso studi professionali associati. È membro dell’Autorità di controllo per la protezione dei dati personali di EUMETSAT e co-presidente del Gruppo di Lavoro su Privacy Level Agreement  (PLA) di Cloud Security Alliance (CSA). Avvocato consigliato da The Legal 500 EMEA 2020 nei settori di “Data Privacy & Data Protection” e “Industry Focus: TMT”.

Luca Bolognini è Presidente dell’Istituto Italiano per la Privacy (IIP). Avvocato europeo dei dati e DPO di grandi aziende ed enti, è dal 2011 Socio Fondatore dello studio ICTLC – ICT Legal Consulting con sedi a Milano, Roma, Bologna, Amsterdam, Helsinki, Madrid, Melbourne e studi corrispondenti in altri 28 Paesi. The Legal 500 2020 Data Privacy and Data Protection Leading Individual for Italy e Co-Chair dello Europrivacy Board of Senior Experts. Insegna in numerosi Master e corsi universitari, in Italia e all’estero. Tra i libri di cui è stato autore e/o curatore: “Deontologia Privacy per avvocati e investigatori privati” (Giuffrè, 2009), “Next Privacy” (RCS Etas, 2010), “Privacy Officer” (Ipsoa, 2013), “Privacy Technologies and Policies” (Springer, 2016), «Internet of Things Security and Data Protection» (Springer 2019). Ha scritto il volume “Il Regolamento Privacy Europeo” (Giuffrè, 2016), primo commentario completo italiano al GDPR, il saggio «Codice Privacy: tutte le novità del D.Lgs. 101/2018» (Giuffrè, 2018) e ha diretto l’estesa opera «Codice della Disciplina Privacy» (Giuffrè, settembre 2019), commentario completo al GDPR, al Codice Privacy e a tutte le vigenti normative italiane, primarie e secondarie, in materia di diritto dei dati personali.

Torna in cima