In principio (si fa per dire) fu la sentenza C-311/18 della Corte di Giustizia dell'Unione Europea (c.d. “Schrems II”, del 16 luglio 2020) che invalidò di colpo (pur non essendo il classico fulmine a ciel sereno) lo Scudo Privacy (Privacy Shield), gettando milioni di operatori pubblici e privati in Unione Europea nelle ambasce di trasferimenti di dati personali 'senza rete' verso operatori stabiliti negli USA.
È una decisione destinata a destare scalpore (e forse anche a fare scuola) quella della Commissione irlandese per la protezione dei dati che, prima tra i regolatore della privacy dell’Unione Europea ha inviato a Facebook un ordine preliminare per sospendere i trasferimenti di dati negli Stati Uniti sui suoi utenti dell’UE. Si tratta del primo passo significativo che le autorità di regolamentazione dell’UE hanno compiuto per applicare una sentenza di luglio sui trasferimenti di dati della Corte d Giustizia Europea che limita il modo in cui aziende come Facebook possono inviare informazioni personali sugli europei al suolo statunitense, nel timore che i dati degli utenti europei vengano ‘spiati’ e schedati.
Al setaccio i contratti con i fornitori di servizi elettronici: le scuole, una per una, devono verificare se questi applicativi esportano dati al di fuori dell'Unione Europea nel rispetto del Gdpr. Inoltre, gli istituti devono anche configurare i sistemi in maniera da evitare l'indebito invio di informazioni relative a personale, studenti e famiglie verso Stati che non garantiscono una tutela dei dati equiparabile a quella del Regolamento Ue sulla privacy n. 2016/679 (Gdpr). Sono queste alcune indicazioni desumibili dalla nota del ministero dell'istruzione e del merito (Mim) protocollo n. 706 - del 20 marzo 2023, recapitata a tutti gli uffici scolastici regionali e agli organi scolastici delle autonomie.
Il 4 giugno 2021, dopo oltre 11 anni dall’ultima decisione sul punto, la Commissione Europea ha adottato una nuova Decisione riguardante le Standard Contractual Clauses (d’ora in avanti SCC), per la quale si attende oramai, giusti alcuni accorgimenti, solamente la pubblicazione sulla Gazzetta Ufficiale dell’Unione Europea. La decisione comprende due set di SCC, uno per i rapporti tra titolari del trattamento e responsabili del trattamento e l’altro, oggetto del presente articolo, riguardante il trasferimento di dati verso paesi terzi. La necessità di una nuova Decisione sulla questione dei trasferimenti di dati personali al di fuori dallo spazio UE-SEE verso Paesi non coperti da una decisione di adeguatezza ex art. 45 del GDPR era, oramai, di vitale importanza.
L’Autorità olandese per la protezione dei dati (Autoriteit Persoonsgegevens) ha inflitto a Uber una maxi sanzione di 290 milioni di euro, dopo aver rilevato che la società ha “trasferito i dati personali degli autisti europei negli Stati Uniti, senza salvaguardarne la privacy”. Tale comportamento, secondo il garante olandese, costituisce una grave violazione del Gdpr.
Al “Privacy Shield” è toccato, in sostanza, il destino del “Safe Harbor” – Nella decisione della Corte di Giustizia ha pesato, segnatamente, il primato delle esigenze di sicurezza nazionale, interesse pubblico e amministrazione della giustizia, tale da consentire ingerenze del governo nei diritti fondamentali delle persone fisiche i cui dati sono trasferiti alle imprese U.S.A. – A ciò si è aggiunta la verifica della mancanza di garanzie di indipendenza, rispetto al Dipartimento di Stato U.S.A., della figura del Mediatore dello “Scudo Privacy”, in contrasto con l’articolo 47 della Carta dei Diritti Fondamentali dell'Unione Europea.
L'Autorità italiana ha condotto una complessa istruttoria sui prodotti di riconoscimento facciale della società statunitense Clearview AI Inc , infliggendole – tra l'altro - una sanzione di 20 milioni di euro per aver messo in atto un monitoraggio biometrico di persone che si trovano nel territorio italiano.
Il sito web austriaco NetDoktor, che si occupa di notizie mediche, funziona come milioni di altri: l’utente naviga sul sito e un cookie di Google Analytics viene posizionato sul dispositivo del medesimo utente, tracciando ciò che fa durante la sua visita. Questa funzione può includere le pagine che vengono lette, quanto tempo si rimane sul sito e informazioni sul dispositivo dello stesso utente, con assegnazione da parte di Google di un numero di identificazione che può essere collegato ad altri dati.
Sarà formalmente aperto al traffico giovedì 12 ottobre il ponte di dati tra Regno Unito e Stati Uniti, che consentirà alle aziende e alle organizzazioni britanniche di trasferire dati a organizzazioni certificate negli Stati Uniti.
Uno degli aspetti meno appariscenti della recente legge 171/2018 è che permetterà a San Marino di superare il protezionismo dell’Unione Europea relativamente al trattamento di dati personali. Questo significa che le imprese sammarinesi potranno scambiare beni e servizi con imprese UE senza “pagare dazio” sulle modalità di trattamento dei dati personali.
