Invalidazione Privacy Shield, il Garante UE incoraggia a evitare trasferimenti di dati personali negli Usa

MILANO- Il Garante europeo della protezione dei dati (Edps) ha pubblicato un documento strategico che intende monitorare la conformità delle istituzioni, degli organi e degli organismi europei (IUE) alla sentenza "Schrems II" che lo scorso luglio ha invalidato il Privacy Shield in relazione ai trasferimenti di dati personali verso paesi terzi,  in particolare negli Stati Uniti.

Obiettivo di questo documento è fare in modo che i trasferimenti internazionali attualmente in corso e quelli futuri siano effettuati in conformità con la legge sulla protezione dei dati dell'Unione Europea, specificamente disciplinata dal Regolamento UE 2018/1725 per i trattamenti dei dati personali effettuati dalle istituzioni, dagli organi e dagli organismi dell’Unione Europea, e dal Regolamento UE 2016/679 (Gdpr) per tutti i trattamenti di dati personali effettuati dagli altri titolari che hanno sede nell’UE o comunque relativi ad  interessati che  si  trovano  nell'UE effettuati da titolari extra UE quando riguardano l'offerta di beni o la prestazione di servizi o il monitoraggio dei loro comportamenti.

Nel comunicato stampa diffuso lo scorso 29 ottobre, il Garante europeo Wojciech Wiewiórowski ha sottolineato: "I trasferimenti di dati personali da parte delle istituzioni europee verso paesi terzi dovrebbero essere conformi alla Carta dei diritti fondamentali dell'UE, nonché alla legislazione dell'UE in materia di protezione dei dati, in particolare al capitolo V del Regolamento UE 2018/1725. A tal fine, la strategia si basa sulla cooperazione e la responsabilità dei titolari del trattamento per valutare se gli standard di protezione essenzialmente equivalenti, sulla base della sentenza della Corte, sono garantiti quando vengono effettuati trasferimenti di dati personali verso paesi terzi”.

Il Garante europeo evidenzia che continuerà a collaborare strettamente con le altre autorità di controllo per la protezione dei dati (DPA) all'interno dell’ Comitato europeo per la protezione dei dati (EDPB) in modo che i dati personali delle persone siano costantemente protetti in tutta l'UE e nello SEE quando si verificano trasferimenti di dati a paesi terzi.

La sentenza "Schrems II"

La sentenza "Schrems II" ha conseguenze rilevanti su tutti gli strumenti legali utilizzati per trasferire dati personali dallo Spazio Economico Europeo verso qualsiasi paese terzo, compresi i trasferimenti tra autorità pubbliche.

Anche se la strategia miri a rendere tutti i trasferimenti conformi alla sentenza a medio termine, l’Edps ha identificato due priorità da affrontare a breve termine: mappare e verificare tutti i contratti di servizi tra titolare del trattamento e responsabile del trattamento e/o i contratti tra responsabile del trattamento e sub-responsabile che comportano trasferimenti di dati a paesi terzi, con un accento particolare su quelli effettuati negli Stati Uniti.

È in questo contesto che il Garante Europeo per la protezione dei dati ha sviluppato un piano d'azione per razionalizzare le misure di conformità e di esecuzione, distinguendo tra azioni di conformità a breve e medio termine.  Mentre la strategia continuerà ad essere attuata, il Garante UE incoraggia le istituzioni, gli organi e gli organismi europei (IUE) ad evitare trasferimenti di dati personali verso gli Stati Uniti per nuove operazioni di trattamento o nuovi contratti con fornitori di servizi.