Importante

A seguito della sentenza del 16 luglio 2020 nella causa C-311/18 Data Protection Commissioner/Maximilian Schrems e Facebook Ireland che ha di fatto invalidato il Privacy Shield, stiamo rivedendo questo articolo.
Al momento non ci sono ancora molte indicazioni in merito. Ecco quello che devi sapere per ora:
  • Normalmente, per trasferire al di fuori dell’UE i dati personali degli utenti dell’UE è necessario soddisfare le condizioni indicate negli articoli 44-50 del GDPR (se ad esempio salvi dati personali di cittadini dell’UE su un server negli Stati Uniti, dovrai basare questo trasferimento su uno dei meccanismi di conformità esistenti).
  • Prima di questa sentenza, le aziende statunitensi potevano aderire al Privacy Shield ed essere certificate come una destinazione sicura per i dati personali dell’UE. Una volta ricevuti i dati, tali aziende non avevano bisogno di alcuna autorizzazione specifica per questa attività.
  • La Corte di Giustizia europea ha ora dichiarato invalido questo meccanismo. Questo significa che i trasferimenti che si basavano sul Privacy Shield devono rivolgersi altrove per essere conformi.
  • Stiamo apportando tutte le modifiche necessarie ai nostri prodotti/servizi per mantenere aggiornate le informative sulla privacy (è qui che il Privacy Shield incide sul nostro servizio).
Se vuoi rispettare la decisione della Corte fin da subito, devi rivedere tutti i trasferimenti di dati che effettui verso gli Stati Uniti (ad esempio, ti appoggi a un fornitore statunitense o usi uno strumento che è gestito da una società statunitense) e verificare se si basano sul Privacy Shield. In caso affermativo, dovrai verificare se tale fornitore offre una base giuridica alternativa per giustificare il trasferimento dei dati, come ad esempio delle clausole contrattuali standard integrate nel contratto con il fornitore, o il consenso esplicito.

Che cos’è il Privacy Shield?

Il Privacy Shield è un accordo stipulato affinché i dati trasferiti dall’UE agli Stati Uniti siano protetti secondo gli standard approvati dalla Commissione anche una volta fuoriusciti dai confini dell’Unione (e della Svizzera).

Questa la descrizione fornita dalla Commissione Europea:

Il Privacy Shield UE-US impone obblighi più severi alle società statunitensi per proteggere i dati personali degli europei. Riflette i requisiti della Corte di Giustizia europea, che ha invalidato il precedente quadro Safe Harbor. Il Privacy Shield richiede che gli Stati Uniti controllino e applichino più rigorosamente la normativa e cooperino più strettamente con le autorità europee per la protezione dei dati. Per la prima volta comprende inoltre impegni scritti e garanzie in merito all’accesso ai dati da parte delle autorità pubbliche.

Ciò significa che:

  • Le società statunitensi che vogliono aderire dovranno:
    • dichiarare che soddisfano i requisiti con un’autocertificazione a cadenza annuale;
    • mostrare una privacy policy sul proprio sito web;
    • rispondere prontamente ai reclami sull’argomento;
    • (se si tratta di dati relativi le risorse umane) cooperare e conformarsi alle autorità europee per la protezione dei dati.
  • Le società europee e svizzere che desiderano trasferire i dati negli Stati Uniti in modo conforme possono affidarsi alle garanzie del quadro normativo per il trasferimento alle aziende partecipanti.
Alcuni punti da prendere in considerazione
  • Il Privacy Shield riguarda solo le aziende che trasferiscono dati di utenti UE o svizzeri negli Stati Uniti.
  • Se un’azienda effettua questo tipo di trasferimenti tramite un partner/fornitore (ad esempio, utilizzando un servizio di web analytics con server negli Stati Uniti), è il partner che deve adeguarsi, ma è necessario che titolare e responsabile del trattamento stipulino un contratto di nomina a responsabile (DPA).
  • Non basta avere una privacy policy per essere conformi al Privacy Shield: ci sono infatti anche altri requisiti da rispettare.

Maggiori dettagli (in inglese) nel factsheet sul sito della Commissione Europea.

A seguire scopriremo di più sull’autocertificazione, sui modi in cui può aiutarti iubenda e su cosa comporta il Privacy Shield per le società statunitensi, europee e svizzere che devono gestire trasferimenti di dati dall’UE agli Stati Uniti.

Che cosa si intende per certificazione al Privacy Shield?

Questo framework ha lo scopo di proteggere i dati personali dei cittadini europei dopo il trasferimento negli Stati Uniti e si correla con i requisiti GDPR per il trasferimento dei dati all’estero.

Per le società europee

Per le aziende europee, tra i modi per trasferire correttamente i dati dall’Europa agli Stati Uniti figurano le clausole contrattuali, le norme vincolanti d’impresa e il Privacy Shield. La normativa dell’UE vieta che i dati personali dei suoi cittadini vengano trasferiti al di fuori dei propri confini in paesi che non garantiscono un livello adeguato di protezione.

In generale l’UE ritiene che gli USA non siano dotati di un sufficiente livello di protezione. Il Privacy Shield ha lo scopo di porvi rimedio, agendo come meccanismo rivisto per il trasferimento sicuro dei dati negli Stati Uniti.

Se ti stai appoggiando a società statunitensi per elaborare i dati, potrebbe valere la pena privilegiare quelle che hanno ottenuto la certificazione Privacy Shield, in quanto basarsi sugli altri meccanismi di trasferimento autorizzati dal GDPR, norme vincolanti d’impresaclausole contrattuali standard e consenso individuale esplicito e informato (Articolo 49), può risultare più complicato.

Requisiti della privacy policy

Una privacy policy conforme al Privacy Shield comprende molte informazioni attraverso cui l’organizzazione si impegna a rispettare i principi del quadro normativo. La privacy policy ha lo scopo di informare adeguatamente gli utenti circa i loro diritti e traccia i contorni della dichiarazione che l’azienda deve rispettare.

In linea generale è necessario modificare l’informativa privacy della tua organizzazione in modo da allinearla ai principi del Privacy Shield, rispecchiando le operazioni commerciali della propria azienda. Di seguito gli elementi richiesti dall’allegato al Privacy Shield:

L’organizzazione deve informare le persone:

  1. della sua adesione allo scudo, fornendo un collegamento ipertestuale o l’indirizzo Internet in cui è reperibile l’elenco degli aderenti allo scudo;
  2. dei tipi di dati personali raccolti e, se del caso, dei soggetti o delle filiali che fanno capo ad essa e che aderiscono anch’essi ai principi;
  3. del suo impegno di attenersi ai principi per tutti i dati personali ricevuti dall’UE in virtù dello scudo;
  4. delle finalità alle quali raccoglie e usa informazioni personali che le riguardano;
  5. del modo in cui contattare l’organizzazione per trasmettere richieste di informazioni o reclami, indicando anche i soggetti stabiliti nell’UE che possono eventualmente rispondervi;
  6. del tipo o dell’identità dei terzi cui comunica dati personali indicando le finalità della comunicazione;
  7. del diritto di accedere ai dati personali che le riguardano;
  8. delle opzioni e dei mezzi che mette a loro disposizione per limitare l’uso e la divulgazione dei dati personali che le riguardano;
  9. dell’organo indipendente di composizione delle controversie incaricato di trattare i reclami e di mettere a disposizione della persona, gratuitamente, mezzi di ricorso adeguati, indicando se si tratta:
    • del comitato istituito dalle autorità di protezione dei dati,
    • di un organo alternativo di composizione delle controversie basato nell’UE oppure
    • di un organo alternativo di composizione delle controversie basato negli USA;
  10. di essere sottoposta all’autorità d’indagine e di controllo dell’FTC, del Dipartimento dei Trasporti o di altro ente competente per legge autorizzato negli USA;
  11. della possibilità di chiedere, a determinate condizioni, un arbitrato vincolante;
  12. dell’obbligo di comunicare informazioni personali in risposta a legittime richieste delle autorità pubbliche, tra l’altro per motivi di sicurezza nazionale o di applicazione della legge;
  13. della responsabilità che le incombe in caso di ulteriore trasferimento dei dati a terzi.

Questi sono i punti principali che devi affrontare nella stesura di una privacy policy conforme al Privacy Shield.