Privacy Shield invalidato 2020: cosa devi sapere e le SCC possono dare tregua?

Il 16 luglio 2020, la Corte di giustizia dell'Unione Europea (la “CGUE”) ha emesso la sua storica sentenza nella causa Schrems II (causa C-311/18). Nella sua sentenza, la CGUE ha concluso che le clausole contrattuali standard (le " SCC ") emesse dalla Commissione europea per il trasferimento di dati personali a responsabili del trattamento stabiliti al di fuori dell'UE sono ancora valide sottolineando la necessità di un controllo caso per caso . Inaspettatamente, la Corte ha invalidato il quadro dello scudo UE-USA per la privacy (va contro il requisito dell'articolo 45, paragrafo 2, lettera a), del GDPR).

Come dimostrato dalla sequenza temporale, Schrems II ha richiesto anni di lavoro ed è un caso affascinante. Di conseguenza, le società statunitensi che operano in Europa o gestiscono dati da clienti europei dovranno negoziare nuovi accordi individuali di trattamento dei dati, chiamati Standard Contractual Clauses (SCC), con l'UE, o interrompere il trasferimento dei dati dalle operazioni europee negli Stati Uniti.

La sentenza ha un impatto su

(a) più di 5.000 società negli Stati Uniti che si sono autocertificate nell'ambito del meccanismo Privacy Shield, e

(b) un numero imprecisato di società al di fuori degli Stati Uniti che si sono affidate all'autocertificazione Privacy Shield dei destinatari per conformarsi alle rigorose leggi UE sulla protezione dei dati.

Reazione delle Autorità di Vigilanza

A seguito della decisione EJC Schrems II, alcune autorità di vigilanza hanno espresso la loro opinione sulla via da seguire, in particolare per quanto riguarda l'uso continuato delle Standard Contractual Clauses (SCC). Di seguito abbiamo riassunto i messaggi chiave e i risultati:

Amburgo

L' autorità per la protezione dei dati di Amburgo conclude :

Se l'invalidità del Privacy Shield è principalmente dovuta all'escalation delle attività di intelligence negli USA, lo stesso deve valere anche per le Standard Contractual Clauses. Gli accordi contrattuali tra l'esportatore e l'importatore di dati sono ugualmente inadatti a proteggere gli interessati dall'accesso dello Stato.

Tuttavia, lo vedono anche

oltre alle Norme vincolanti d'impresa e agli accordi individuali, è soprattutto il SCC che può essere utilizzato come base per i trasferimenti verso paesi terzi. Allo stesso tempo, però, questa volta è aumentata l'incertezza: la Corte di giustizia sta passando la palla alle autorità di vigilanza europee.

Johannes Casper, funzionario della Commissione del DPA di Amburgo, afferma:

Dopo la decisione odierna della Corte di giustizia, la palla torna al campo delle autorità di vigilanza, che dovranno ora affrontare la decisione di mettere in discussione criticamente il trasferimento complessivo dei dati tramite clausole contrattuali standard.

Commissario Federale

Allo stesso tempo, il Commissario federale per la protezione dei dati e la libertà di informazione (BfDI) , il professor Ulrich Kelber, associa la sentenza odierna della Corte di giustizia europea (CGUE) sul trasferimento internazionale dei dati a un rafforzamento dei diritti delle persone interessate:

La Corte di giustizia chiarisce che il traffico internazionale di dati è ancora possibile. Tuttavia, i diritti fondamentali dei cittadini europei devono essere rispettati. Occorre ora adottare speciali misure di protezione per lo scambio di dati con gli USA. Le aziende e le autorità non possono più trasferire i dati sulla base del Privacy Shield, che la Corte di giustizia ha dichiarato inefficace. Ovviamente, forniremo consigli approfonditi sul passaggio

Renania-Palatinato

L'APD della Renania-Palatinato ha già adottato un approccio molto proattivo. Poche ore dopo la decisione della Corte di giustizia, è stato pubblicato un documento FAQ sulla decisione della Corte di giustizia . Per quanto riguarda ciò che gli esportatori di dati devono ora fare in relazione all'SCC, concludono:

I titolari del trattamento devono verificare le leggi applicabili all'importatore di dati nel paese terzo verso cui intendono trasferire i dati e, se del caso, agli altri suoi partner contrattuali in questo rapporto commerciale e se tali leggi pregiudicano le garanzie fornite dalle clausole contrattuali standard . Se necessario, i flussi di dati specifici devono essere analizzati per determinare quali leggi del paese terzo sono applicabili in ciascun caso. Tali obblighi si applicano ai trasferimenti di dati verso tutti i paesi terzi, non solo negli USA.

Viene riconosciuta la validità della Decisione SCC

Poiché la Corte ha confermato la validità della decisione SCC del 2010, i flussi di dati dall'UE al resto del mondo basati sugli SCC possono continuare senza interruzioni. Tuttavia, anche per le aziende che si affidano agli SCC per l'esportazione di dati fuori dal SEE, sarebbe prudente monitorare da vicino questo spazio. Il commissario UE alla Giustizia Didier Reynders ha emesso un annuncio anticipato lo stesso giorno della decisione, rilevando i suoi piani per aggiornare gli SCC alla luce della loro importanza ora aumentata.

Invalidazione del Privacy Shield senza periodo di transizione

Poiché la Corte ha anche deciso di valutare il Privacy Shield e lo ha ritenuto non valido, tutti i flussi di dati che fanno affidamento su questo quadro diventeranno illegittimi.

Lo scudo per la privacy deve ora affrontare lo stesso sfortunato destino del programma Safe Harbor nel 2015. Simile alla corsa che si è verificata dopo l'annullamento del programma Safe Harbor, potremmo vedere i governi degli Stati Uniti e dell'UE incontrarsi per riparare i difetti evidenziati dalla decisione della CGUE. Tuttavia, fino a quando questi difetti non saranno risolti, qualsiasi azienda che si affidi allo Scudo per la privacy per trasferire correttamente i dati dovrebbe passare ad altre misure che sono state esplicitamente ritenute garanzie appropriate, come SCC, consenso dell'utente e Regole aziendali vincolanti (BCR).

Poiché le autorità riconoscono che gli SCC funzionano ancora come base, ci aspettiamo che le autorità concedano alle organizzazioni un periodo di grazia per rendersi conformi in relazione ai trasferimenti a seguito della sentenza. Dopo la caduta di Safe Harbor nel 2015 è stato concesso un periodo di grazia di 6 mesi. Dato l'impatto più ampio, sarebbe ragionevole ripeterlo ora e potenzialmente estendere questo periodo.

Passi successivi per le organizzazioni

Le aziende dovrebbero prepararsi per l'era successiva allo Scudo per la privacy e ottenere regole aziendali vincolanti (BCR) e clausole contrattuali standard (SCC) per la propria protezione dei dati.

1. Sebbene le SCC rimangano valide, le organizzazioni che attualmente si basano su di esse dovranno valutare se, in considerazione della natura dei dati personali, delle finalità e del contesto del trattamento e del paese di destinazione, esiste un "livello di protezione adeguato" per i dati personali come previsto dalla normativa comunitaria. In caso contrario, le organizzazioni dovrebbero considerare quali ulteriori salvaguardie possono essere implementate per garantire che vi sia effettivamente un "livello di protezione adeguato".
2. Le organizzazioni che attualmente fanno affidamento sul quadro dello scudo UE-USA per la privacy dovranno identificare urgentemente un meccanismo alternativo di trasferimento dei dati per continuare i trasferimenti di dati personali verso gli Stati Uniti. Le organizzazioni possono fare affidamento sulle deroghe previste dal GDPR per determinati trasferimenti (come quando il trasferimento è necessario per l'esecuzione di un contratto) e anche le SCC o Binding Corporate Rules dovrebbero essere considerate come meccanismi alternativi.

In breve, le aziende soggette al GDPR dovrebbero prendere in considerazione

(i) i loro flussi di dati negli Stati Uniti,

(ii) il rispettivo meccanismo legale per tali trasferimenti negli Stati Uniti, e

(iii) se lo scudo UE-USA per la privacy è l'attuale meccanismo di trasferimento, predisporre un meccanismo di trasferimento legittimo per tali attività.

Cosa farà il convertito

1. Fai attenzione alle indicazioni delle autorità di controllo, del Comitato europeo per la protezione dei dati e della Commissione europea.
2. Valuta quali dati vengono trasferiti al di fuori dell'UE e su quali basi conducendo un esercizio di mappatura dei dati. In questo esercizio cerchiamo:
   1. Trasferimenti di dati a organizzazioni che aderiscono al Privacy Shield,
   2. Trasferimenti di dati che si basano su clausole contrattuali standard: notare qualsiasi trasferimento di dati a importatori statunitensi che si basano in particolare su SCC,
   3. Trasferimenti di dati che si basano su regole aziendali vincolanti e che comportano trasferimenti di dati negli Stati Uniti.
3. Informa gli utenti attivi e di prova utilizzando i messaggi in-app sulle azioni successive. In breve, per i nostri clienti i cui trasferimenti di dati nell'UE erano già coperti da SCC, non è necessario fare nulla. Per coloro che in precedenza erano coperti dal Privacy Shield, l'adozione delle clausole contrattuali standard dell'UE (SCC) è un percorso necessario. Se sei un cliente Convert che desidera incorporare SCC, il tuo Convert Customer Success Hero si metterà in contatto con te per iniziare il processo di incorporazione delle clausole contrattuali standard nei nostri attuali accordi con te.
4. Firma gli accordi sul trattamento dei dati (DPA) e/o le clausole contrattuali standard (SCC) aggiornati con tutti i sub-responsabili del trattamento.
5. Contatta Privacy Shield per ricevere aggiornamenti sulla decisione Schrems II.
6. Aggiorna la nostra Informativa sulla privacy per includere un collegamento alle SCC prefirmate.
7. Aggiorna la pagina DPA per riflettere lo stato corrente.
8. Tieni d'occhio altri meccanismi di trasferimento dei dati.