Il cosiddetto Privacy Shield è stato definito inadeguato nelle scorse settimane dalla Corte di Giustizia dell’Unione Europea e va ritenuto fin da subito fuori gioco, come si legge nelle nuove linee guida sul tema distribuite dal Comitato Europeo per la Protezione dei Dati. Tradotto: nessuna realtà che opera nel vecchio continente è più autorizzata a farvi affidamento per trasferire le informazioni qui raccolte verso gli Stati Uniti.
L’Europa sul Privacy Shield: non c’è più
Realtà come i social network e le piattaforme online sono chiamate ad adeguarsi al nuovo pronunciamento sul caso Schrems. Per proseguire con la pratica sarà necessario far leva su metodi alternativi come SCC (Standard Contractual Clauses) o BCR (Binding Corporate Rules) avendone però prima dato comunicazione alle autorità competenti.
Esiste un “termine di grazia” durante il quale posso continuare a trasferire i dati verso gli Stati Uniti senza valutare le basi legali del trasferimento?
No, la Corte ha invalidato la decisione sul Privacy Shield senza mantenerne gli effetti poiché la legge statunitense valutata dalla Corte non fornisce un livello di protezione equivalente a quello europeo. Questa decisione è stata presa in riferimento a tutti i trasferimenti verso gli Stati Uniti.
La trasmissione delle informazioni oltreoceano può però avvenire sulla base di quanto previsto da un articolo del GDPR.
Posso far affidamento alle deroghe dell’articolo 49 del GDPR per trasferire i dati verso gli Stati Uniti?
È ancora possibile trasferire i dati dallo Spazio Economico Europeo agli Stati Uniti sulla base delle deroghe presenti nell’articolo 49 del GDPR nel rispetto delle condizioni stabilite per l’applicazione dell’articolo stesso.
In tal caso dev’essere prima ottenuto il consenso esplicito e informato da parte dell’utente, fornendo dettagli sui rischi legati al trasferimento verso paesi che non garantiscono un livello di tutela pari a quello delle normative vigenti in Europa.