Il Privacy Shiled è un accordo che ha regolato il trasferimento dei dati dall’Unione Europea agli Stati Uniti dal 2016 a luglio del 2020 quando la corte di giustizia l’ha dichiarato invalido, in quanto non poteva garantire il livello di protezione del dato richiesto dal GDPR.

L’autorità garante ha stilato un documento strategico, per verificare la conformità delle istituzioni, degli organi e degli organismi Europei a quanto previsto dalla “Schrems II”, ossia la sentenza che lo scorso luglio ha invalidato il Privacy Shield in relazione ai trasferimenti di dati personali verso paesi terzi, e in particolare negli Stati Uniti.

L’obiettivo del documento del Comitato Europeo per la protezione dei dati (EDPB) è tutelare i trasferimenti di dati internazionali, in corso e futuri, richiedendo che siano effettuati in conformità con la legge sulla protezione dei dati dell’Unione Europea.

I due riferimenti normativi fondamentali di cui tener conto sono:

  • Regolamento UE 2018/1725 regola i trattamenti dei dati personali effettuati dalle istituzioni, dagli organi e dagli organismi dell’Unione Europea.
  • Regolamento UE 2016/679 (Gdpr) per tutti i trattamenti di dati personali effettuati da:
  • titolari che hanno sede nell’UE o comunque relativi ad interessati che si trovano nell’UE
  • titolari extra UE quando riguardano l’offerta di beni o la prestazione di servizi o il monitoraggio dei loro comportamenti.

Nel comunicato stampa diffuso il 29 ottobre 2020, il Garante europeo Wojciech Wiewiórowski ha affermato: “I trasferimenti di dati personali da parte delle istituzioni europee verso paesi terzi dovrebbero essere conformi alla Carta dei diritti fondamentali dell’UE, nonché alla legislazione dell’UE in materia di protezione dei dati, in particolare al capitolo V del Regolamento UE 2018/1725. A tal fine, la strategia si basa sulla cooperazione e la responsabilità dei titolari del trattamento per valutare se gli standard di protezione essenzialmente equivalenti, sulla base della sentenza della Corte, sono garantiti quando vengono effettuati trasferimenti di dati personali verso paesi terzi”.

Il Garante europeo sottolinea quanto sia importante che quando avvengono trasferimenti di dati a paesi terzi, gli stessi, siano tutelati e costantemente protetti in tutta l’UE e nello SEE (Spazio Economico Europeo), per questo rimarca l’intenzione di continuare la stretta collaborazione con le altre autorità di controllo per la protezione dei dati (DPA) all’interno dell’Comitato europeo per la protezione dei dati (EDPB)

La sentenza “Schrems II” ha conseguenze su tutti gli strumenti legali utilizzati per trasferire dati personali dallo Spazio Economico Europeo verso qualsiasi paese terzo, compresi i trasferimenti tra autorità pubbliche.

La strategia presentata nella sentenza ha come obiettivo rendere tutti i trasferimenti conformi, sul medio periodo, ciò nonostante l’EDPS ha identificato due priorità da affrontare a breve termine che sono: mappare e  verificare tutti i contratti di servizi tra titolare del trattamento e responsabile del trattamento e/o tra responsabile del trattamento e sub-responsabile,  nel caso in cui comportino trasferimenti di dati a paesi terzi, con particolare attenzione a quelli effettuati negli Stati Uniti.

il Garante Europeo per la protezione dei dati ha sviluppato un piano d’azione indicando le misure di esecuzione e quelle di conformità, distinguendo tra queste, azioni a breve e medio termine.

L’autorità Garante continua ad attuare le misure esecutive per garantire la sicurezza dei dati personali trasferiti ma incoraggia vivamente le istituzioni, degli organi e degli organismi europei ad evitare trasferimenti di dati personali verso gli Stati Uniti per nuove operazioni di trattamento o nuovi contratti con fornitori di servizi.