Per le ricette transfontaliere occorrono maggiori garanzie e il Garante per la protezione dei dati personali è pronto ad offrire la sua collaborazione al Ministero della salute per un sistema di assistenza transfrontaliera a prova di privacy.
Scatta il rischio sanzioni privacy per chi, sui propri siti Internet, continua a usare e anche per chi ha usato in passato Google Analytics 3 o servizi simili. Sono servizi per avere statistiche su chi visita le pagine web, ma sono illegittime se trasferiscono dati verso gli Usa, senza garanzie per gli interessati. Il Garante italiano, seguendo i precedenti conformi dei garanti austriaco e francese, ha, infatti, bocciato la versione 3 di Google Analytics (GA) con il provvedimento n. 224 del 9 giugno 2022, a latere del quale ha avvisato aziende e pubbliche amministrazione che, a partire dal novantesimo giorno successivo alla notifica del provvedimento citato all'operatore coinvolto, sarebbero state avviate ispezioni per accertare chi è in regola e chi no con il Gdpr.
Le numerose operazioni societarie condotte negli ultimi anni nel nostro Paese di acquisizione di aziende italiane da parte di multinazionali, ci consentono di affrontare il tema dei trattamenti transfrontalieri svolti da società appartenenti a gruppi societari stranieri.
Nel limbo il traffico di dati personali verso gli Usa. Dopo la sentenza della Corte di giustizia dell'Unione Europea (Cgue) del 16 luglio 2020, che ha annullato l'accordo Ue/Usa sull'export di dati (accordo enfaticamente battezzato scudo privacy o Privacy Shield), non si sono viste immediate ripercussioni (secondo qualcuno sarebbero state catastrofiche), e i principali operatori interessati (sono nomi conosciuti da tutti perché interessano servizi di messaggistica, cloud, social network, distribuzione planetaria di prodotti) hanno, fino a oggi, tutt'al più modificato le loro schede informative sui loro siti internet.
Reazione in tre mosse per l'export di dati fuori dall'Europa: esaminare se effettivamente c'è bisogno dei servizi di un fornitore extra Ue verificare con un'analisi «caso per caso» se la privacy è adeguatamente tutelata nel paese terzo; in caso negativo, rinegoziare eventuali clausole contrattuali, passare a un'altra base giuridica o cessare il trasferimento dei dati. Queste in sintesi le risposte del Comitato europeo per la protezione dei dati ai quesiti più frequenti sugli effetti della sentenza della Cgue sul Privacy Shield.
Lo scorso 4 giugno la Commissione Europea ha adottato una nuova Decisione relativa alle c.d. Standard Contractual Clauses ("SCC"), in materia, tra l'altro, di trasferimento di dati personali verso paesi terzi. Si ricorda che le SCC costituiscono uno degli strumenti posti a garanzia del trasferimento di dati fuori dall'Unione Europea ai sensi di quanto previsto dall'art. 46 c. 2 lett. c) GDPR, e quindi una delle ipotesi che rendono legittimo tale trasferimento.
La nuova Decisione di Adeguatezza, intervenuta il 28 giugno a favore del Regno Unito, è stata accolta con un sospiro di sollievo da entrambi i lati della Manica, in quanto mancavano solamente 48 ore allo scadere del periodo di grazia contrattato tra le parti tramite l’Accordo di Scambio e Cooperazione UE – UK. Una delle novità rispetto alle precedenti decisioni di adeguatezza è l’inserimento di una c.d. “sunset clause”, traducibile in italiano con “clausola di caducità” (anche se spesso si preferisce non tradurre il termine).
La notizia ormai è nota e ha fatto il giro dell’Europa e di Internet, attraversando poi l’oceano e sbarcando a Washington: con un provvedimento adottato il 9 giugno 2022 il Garante per la protezione dei dati personali ha accertato che i trasferimenti di dati personali negli Usa necessari al funzionamento del servizio Google Analytics, leader di mercato nei servizi di analisi di traffico e contatti di un sito internet, sono incompatibili con la disciplina europea sulla protezione dei dati personali o, più precisamente, lo è lo specifico trasferimento di dati personali posto in essere da uno delle migliaia di clienti italiani di Google: quello oggetto dell’istruttoria conclusasi, appunto, con l’adozione del provvedimento.
Dopo l’invalidazione del Privacy Shield, decisa dalla Corte di Giustizia dell’UE il 16 luglio 2020 nella causa C-311/18, (nota come "Schrems II"), migliaia di imprese ed enti che si scambiano informazioni con i propri partner d’oltreoceano rischiano di affogare nelle sopraggiunte complicazioni per il trasferimento di dati all’estero. Ma adesso un prezioso salvagente arriva dall’European Data Protection Board con le misure supplementari richieste per ricorrere lecitamente alle clausole contrattuali standard (SCC).
Il 13 dicembre 2022 la Commissione europea ha emanato il progetto di decisione di adeguatezza basata sull'accordo denominato Data Privacy Framework, per promuovere il trasferimento di dati personali dall'Unione europea agli Stati Uniti. La Commissione ritiene che il nuovo quadro normativo consenta di superare i problemi sollevati dalla sentenza Schrems II, con cui la Corte di Giustizia dell'Unione europea aveva invalidato il Privacy Shield.
