Invalidazione Privacy Shield, il Garante UE incoraggia ad evitare trasferimenti di dati personali negli Usa
Il Garante europeo della protezione dei dati (Edps) ha pubblicato un documento strategico volto a monitorare la conformità delle istituzioni, degli organi e degli organismi europei (IUE) alla sentenza "Schrems II" che lo scorso luglio ha invalidato il Privacy Shield in relazione ai trasferimenti di dati personali verso paesi terzi, e in particolare negli Stati Uniti.
(Nella foto: Wojciech Wiewiórowski, Garante UE per la protezione dei dati)
L'obiettivo del documento dell’Edps è che i trasferimenti internazionali in corso e futuri siano effettuati in conformità con la legge sulla protezione dei dati dell'Unione Europea, specificamente disciplinata dal Regolamento UE 2018/1725 per i trattamenti dei dati personali effettuati dalle istituzioni, dagli organi e dagli organismi dell’Unione Europea, e dal Regolamento UE 2016/679 (Gdpr) per tutti i trattamenti di dati personali effettuati dagli altri titolari che hanno sede nell’UE o comunque relativi ad interessati che si trovano nell'UE effettuati da titolari extra UE quando riguardano l'offerta di beni o la prestazione di servizi o il monitoraggio dei loro comportamenti.
Nel comunicato stampa diffuso il 29 ottobre 2020, il Garante europeo Wojciech Wiewiórowski ha affermato: "I trasferimenti di dati personali da parte delle istituzioni europee verso paesi terzi dovrebbero essere conformi alla Carta dei diritti fondamentali dell'UE, nonché alla legislazione dell'UE in materia di protezione dei dati, in particolare al capitolo V del Regolamento UE 2018/1725. A tal fine, la strategia si basa sulla cooperazione e la responsabilità dei titolari del trattamento per valutare se gli standard di protezione essenzialmente equivalenti, sulla base della sentenza della Corte, sono garantiti quando vengono effettuati trasferimenti di dati personali verso paesi terzi”.
Inoltre, il Garante europeo rimarca che continuerà a collaborare strettamente con le altre autorità di controllo per la protezione dei dati (DPA) all'interno dell’ Comitato europeo per la protezione dei dati (EDPB) in modo che i dati personali delle persone siano costantemente protetti in tutta l'UE e nello SEE quando si verificano trasferimenti di dati a paesi terzi.
La sentenza "Schrems II" ha conseguenze di vasta portata su tutti gli strumenti legali utilizzati per trasferire dati personali dallo Spazio Economico Europeo verso qualsiasi paese terzo, compresi i trasferimenti tra autorità pubbliche.
Sebbene la strategia miri a rendere tutti i trasferimenti conformi alla sentenza a medio termine, l’Edps ha identificato due priorità da affrontare a breve termine: mappare e verificare tutti i contratti di servizi tra titolare del trattamento e responsabile del trattamento e/o i contratti tra responsabile del trattamento e sub-responsabile che comportano trasferimenti di dati a paesi terzi, con un accento particolare su quelli effettuati negli Stati Uniti.
È in questo contesto che il Garante Europeo per la protezione dei dati ha sviluppato un piano d'azione per razionalizzare le misure di conformità e di esecuzione, distinguendo tra azioni di conformità a breve e medio termine.
Mentre la strategia continuerà ad essere attuata, il Garante UE incoraggia vivamente le istituzioni, degli organi e degli organismi europei (IUE) ad evitare trasferimenti di dati personali verso gli Stati Uniti per nuove operazioni di trattamento o nuovi contratti con fornitori di servizi.