Type a keyword and hit enter to start searching. Press Esc to cancel.
© Consulenza Legislazione Alimentare. 2016. Tuttti i diritti riservati.

Attualmente in Lettura

ABOLIZIONE PRIVACY SHIELD: SPUNTANO LE PRIME LINEE GUIDA

A distanza di poco più di un mese dalla sentenza della Corte di Giustizia Europa sul c.d. caso Schrems II, la quale ha abolito il Privacy Shield, nonostante molto sia stato dagli “addetti ai lavori” detto e scritto, poche paiono ancora le certezze.

Si fanno, infatti, attendere le Linee Guida promesse dal Comitato Europeo per la Protezione dei Dati (EDPB), e nessun Garante Privacy europeo sembra volersi esporre sul punto, tranne il LfDI Baden-Wuerttemberg, ovverosia l’Ente incaricato per la protezione dei dati e della libertà di informazione del land Baden-Wuerttermberg. Martedì scorso, il medesimo ha infatti emesso delle Linee Guida sul trasferimento internazionale dei dati personali alla luce della sentenza sul caso Schrems II.

Questa immagine ha l'attributo alt vuoto; il nome del file è LfDI_Logo_Web-1024x325.jpg

Le premesse delle Linee Guida

In premessa, l’Autorità sottolinea come sebbene la succitata sentenza non abbia invalidato le clausole contrattuali standard (SCC), risulta pur sempre necessario che il Titolare del Trattamento si assicuri che, nel concreto, il livello di protezione dei dati personali del paese extra-UE di trasferimento sia equipollente a quello garantito all’interno dell’Unione. Peraltro, l’Ente sottolinea che il rispetto di tale presupposto deve essere interpretato alla luce della Carta dei diritti fondamentali dell’UE e dell’articolo 46 del GDPR.

I suggerimenti delle Linee Guida

L’Autorità peraltro non si è limitata a delle affermazioni di principio, chiarendo in quali circostanze, nonostante l’abolizione del Privacy Shield, a fronte delle succitate SCC, il trasferimento dei dati personali extra-UE, può ritenersi valido. In particolare, la medesima precisa che a tal fine il c.d. “Importatore” deve garantire misure tecniche tali da impedire efficacemente l’acceso ai dati personale da parte delle autorità governative estere. L’Ente elenca le seguenti ipotesi:

  1. Utilizzo di crittografia di cui solamente “l’Esportatore” conosca la chiave e che sia, al contempo, impossibile da violare per i servizi governativi;
  2. Implementazione di anonimizzazione o pseudonimizzazione, il cui codice sia conosciuto unicamente dall’Esportatore;
  3. Presenza delle eccezioni di cui all’articolo 49 del GDPR, a cui si rimanda.

Check-list consigliata dal Garante

Questa immagine ha l'attributo alt vuoto; il nome del file è Checklist.png

Le Linee Guida contengono anche apposita check-list, che può essere utilizzata dalle società interessate per valutare le misure da adottare al fine di conformarsi alla sentenza Schrems II. In particolare, si consiglia di:

  1. Effettuare un bilancio dei servizi utilizzati che prevedono il trasferimento dei dati personali in aree extra-UE;
  2. Contattare i fornitori di servizi (Responsabili del Trattamento) per informarli delle conseguenze del caso Schrems II;
  3. Verificare l’eventuale sussistenza di una decisione di adeguatezza per il paese terzo, ove vengono trasferiti i dati personali;
  4. Analizzare l’ordinamento giuridico del succitato paese terzo;
  5. Verificare se le SCC eventualmente approvate dalla Commissione europea possono essere utilizzate;
  6. Verificare che le SCC siano effettivamente in uso e che sia garantita almeno una delle condizioni di cui ai punti 1, 2, 3.

Modifiche alle SCC

L’Ente, poi, sottolinea come sia importante che i Titolari del Trattamento contattino i fornitori di servizi, che trasmettono i dati in paesi extra-UE, per concordare le seguenti modifiche contrattuali. In particolare, è essenziale prevedere:

  1. l’obbligo da parte dell’Importatore di informare gli Interessati che i loro dati personali potranno essere trasferiti in un paese terzo, il quale non dispone di un livello di protezione adeguato alla luce del GDPR;
  2. l’obbligo per l’Importatore di informare immediatamente l’Esportatore e gli Interessati qualora riceva richieste di accesso ai dati personali trattati – giuridicamente vincolanti – da parte di un’autorità governativa;
  3. l’obbligo per l’Importatore di astenersi dalla comunicazione dei dati personali alle autorità governative, fino a quando il giudice competente non lo ordini;
  4. una clausola di risarcimento danni, secondo cui le parti concordano che qualora una delle stesse sia ritenuta responsabile per qualsivoglia violazione delle SCC, causata dall’altra, quest’ultima si impegna a sostenere i costi, i danni, le spese, le perdite gravanti sulla prima, in proporzione al grado della propria responsabilità.

Consigli finali

Nonostante il tenore particolarmente austero delle Linee Guida, l’Autorità tedesca ha dichiarato di essere consapevole che non sempre è agevole per i Titolari del Trattamento rinvenire nel mercato soluzioni alternative, per il trattamento dei dati personali, che siano di valore pari a quelle già in uso. Conseguentemente pare adotterà un approccio quanto mai ragionevole nei giudizi sul punto.

Questa immagine ha l'attributo alt vuoto; il nome del file è consulting-3031678_1920-1024x682.jpg

Ad ogni buon conto, nel silenzio generale dei Garanti Europei, pare evidente che le società che trattano dati personali non possono in alcun modo astenersi dal consultare un professionista del settore, che può certamente guidarle nel modo più sicuro possibile attraverso questo ginepraio di indicazioni e soluzioni tecniche.

Per sciogliere eventuali dubbi e/o perplessità, esitate a contattare lo Studio Legale Soccol.

Related Posts