Schrems II: la sentenza che ha confermato la centralità del GDPR nella globalizzazione

---

Insieme agli esperti privacy e data protection del gruppo Privato del Comitato Scientifico di ASSO DPO analizziamo nel dettaglio la sentenza Schrems II della Corte di Giustizia dell’Unione Europea sul trasferimento dei dati negli USA e il Privacy Shield. La sentenza conferma la centralità del GDPR, oltre le barriere geografiche e politiche, anche oltre oceano.

---

Indice

1. Il contesto storico
2. La sentenza con le sue argomentazioni
3. Data protection: cosa sta succedendo e cosa fare?

1. Il contesto storico

Nel corso di quest’anno, per quanto riguarda la disciplina giuridica e i sistemi tecnico-organizzativi della protezione dei dati personali, è intervenuta la sentenza della Corte di Giustizia dell’Unione Europea (CGUE), conosciuta come la sentenza Schrems II.

Sentenza che a luglio scorso è apparsa come un fulmine a ciel sereno a molti ma non agli addetti ai lavori in quanto fa seguito a numerosi provvedimenti delle Autorità di controllo, dell’Alta Corte d’Irlanda, della citata Corte di Giustizia dell’UE e della Commissione europea.

Ma chi è il signor Schrems?

Maximilian Schrems è un signore nato in Austria nel 1987, con alle spalle studi giuridici, e conosciuto a tutti coloro che hanno a che fare professionalmente con la protezione dei dati personali come il promotore di campagne contro Google, Apple e soprattutto Facebook, contestando in particolare al social network violazioni alla normativa per la protezione dei dati personali.  

Max Schrems aveva già anni prima presentato ricorso contro Facebook in Irlanda, ovvero la sede nell’Unione Europea del colosso statunitense, a seguito delle rivelazioni di Edward Snowden circa le invasive attività di intelligence effettuate dalle Agenzie statunitensi, tra cui la National Security Agency (NSA).

Attività, a detta di alcuni di spionaggio e di controspionaggio a tutela esclusiva della sicurezza nazionale, che secondo lo stesso Schrems non garantivano la protezione adeguata ai dati delle persone, dei cittadini europei, una volta trasferiti i dati stessi negli USA. Questo per le leggi statunitensi, tra le quali il noto Patriot Act emanato subito dopo (45 giorni) il devastante attentato avvenuto l’11 settembre 2001 al World Trade Center di New York e alla sede del Pentagono.

Il Patriot Act è stato nel tempo modificato anche per le numerose critiche sorte negli stessi Stati Uniti per l’estrema invasività nella vita delle persone dovuta ai poteri dati alle Agenzie Federali (un esempio su tutti, la possibilità per l’FBI di richiedere agli enti ed organizzazioni dati personali, la cronologia di navigazione nel web di una persona, gli indirizzi IP, l’apertura e chiusura di un account presso un provider di servizi internet, gli indirizzi email associati ad un particolare account, i protocolli di rete.

Nonostante tutte le modifiche apportate, negli anni, al Patriot Act, questa legge federale dà ancora ampi autonomi poteri alle Autorità federali. Basti pensare che nel maggio scorso, come si può leggere da fonti aperte, è stato consentito all’FBI dal Senato americano di acquisire la cronologia di navigazione dei browser senza il mandato di un giudice.

Viene a mente quanto affermato, a suo tempo, dal Commissario per la privacy della Columbia Britannica (Canada) molti anni fa sul fatto che il Patriot Act avrebbe potuto consentire al Governo degli Stati Uniti di accedere ai dati sanitari, come le cartelle cliniche dei cittadini canadesi, che erano esternalizzate a società americane. 

Sebbene il governo della Columbia Britannica avesse adottato misure per impedire alle autorità degli Stati Uniti di ottenere informazioni, i poteri diffusi del Patriot Act avrebbero potuto superare la legislazione approvata in Canada. Il suddetto Commissario per la Privacy, nell’occasione, dichiarò in un rapporto sulle conseguenze del Patriot Act, che “una volta che le informazioni vengono inviate oltre confine, è difficile, se non impossibile, controllarle“. Ecco, forse ciò può essere considerato tutt’ora valido per i dati personali che sono trasferiti negli USA. Ma non solo: tale asserzione vale per tutti i trasferimenti verso Paesi extra Unione Europea.

Tutt’ora il Patriot Act risulta in attesa di essere ridiscusso al Congresso in ottemperanza agli emendamenti presentati per le sue modifiche.

Dopo che la Corte di Giustizia europea ha considerato non più valide le misure del Safe Harbor Privacy Principles (sentenza C-362/2014, conosciuta come la sentenza “Schrems I), in quanto organizzazioni ed enti statunitensi non erano più obbligati a rispettare le norme sulla protezione dei dati quando le stesse potevano essere in conflitto con i requisiti di sicurezza nazionale e di interesse pubblico, Schrems, a mezzo di un successivo ricorso, ha ottenuto con la sentenza C-311/18, sempre della Corte di Giustizia europea, l’affermazione sulla effettiva invalidità della Decisione 2016/1250 della Commissione concernente l’adeguatezza della protezione dei dati personali fornita dal Privacy Shield che, nel frattempo, era succeduto al Safe Harbor.

2. La sentenza con le sue argomentazioni

È interessante scorrere il comunicato stampa diffuso per l’occasione dalla stessa Corte di Giustizia per cogliere, seppur sinteticamente, tutti gli spunti di approfondimento che offre la sentenza. Nel documento si legge, infatti, tra l’altro:

“La Corte giudica, invece, valida la decisione 2010/87 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi.”

Ai sensi del regolamento generale sulla protezione dei dati (“GDPR”) il trasferimento dei suddetti dati verso un Paese terzo può avvenire, in linea di principio, solo se il Paese terzo considerato garantisce a tali dati un adeguato livello di protezione.

Secondo tale regolamento, la Commissione può constatare che, grazie alla sua legislazione nazionale o ad impegni internazionali, un Paese terzo assicura un livello di protezione adeguato (art.45 del GDPR). In mancanza di una decisione di adeguatezza siffatta, un trasferimento del genere può essere effettuato solo se l’esportatore dei dati personali, stabilito nell’Unione Europea, prevede garanzie adeguate, le quali possono risultare, in particolare, da clausole tipo di protezione dei dati adottate dalla Commissione, e se gli interessati dispongono di diritti azionabili e di mezzi di ricorso effettivi (art.46, paragrafo 1 e paragrafo 2, lettera c, del GDPR). Il GDPR stabilisce precisamente, inoltre, a quali condizioni può avvenire un trasferimento dati in mancanza di una decisione di adeguatezza o di garanzie adeguate (art. 49 del GDPR).

Il sig. Maximillian Schrems, cittadino austriaco residente in Austria, è iscritto al social network Facebook dal 2008. Al pari di quanto avviene per gli altri utenti residenti dell’Unione Europea, i dati personali del sig. Schrems sono trasferiti, in tutto o in parte, da Facebook Ireland verso server appartenenti a Facebook Inc., situati nel territorio degli Stati Uniti, ove sono oggetto di trattamento.

Il sig. Schrems ha presentato all’autorità irlandese di controllo una denuncia diretta, in sostanza, a far vietare tali trasferimenti, sostenendo che il diritto e le prassi degli Stati Uniti non assicurano una protezione sufficiente contro l’accesso, da parte delle pubbliche autorità, ai dati trasferiti verso tale paese.

Tale denuncia è stata respinta, in particolare, sulla base del rilievo che nella sua decisione 2000/520 (Decisione della Commissione, del 26 luglio 2000, a norma della Direttiva 95/46/CE del Parlamento europeo e del Consiglio sull’adeguatezza della protezione offerta dai principi di approdo sicuro e dalle relative FAQ in materia di riservatezza pubblicate dal Dipartimento del commercio degli Stati Uniti d’America), la cosiddetta decisione «approdo sicuro», la Commissione aveva constatato che gli Stati Uniti garantiscono un livello adeguato di protezione. Con sentenza pronunciata il 6 ottobre 2015 la Corte, investita di una questione pregiudiziale sottopostale dalla High Court (Alta Corte, Irlanda), ha dichiarato invalida tale decisione (la «sentenza Schrems I»).

A seguito della sentenza Schrems I e del successivo annullamento, ad opera del giudice irlandese, della decisione di rigetto della denuncia del sig. Schrems, l’autorità di controllo irlandese ha invitato quest’ultimo a riformulare la sua denuncia tenendo conto della dichiarazione di invalidità, da parte della Corte, della decisione 2000/520. Nella sua denuncia riformulata il sig. Schrems sostiene che:

“Gli Stati Uniti non offrono una protezione sufficiente per i dati trasferiti verso tale paese.”

Egli chiede di sospendere o vietare, per il futuro, i trasferimenti dei suoi dati personali dall’Unione Europea verso gli Stati Uniti, che Facebook Ireland effettua oramai sul fondamento delle clausole tipo di protezione contenute nell’allegato della decisione 2010/87 (clausole contrattuali tipo per il trasferimento di dati personali a responsabili del trattamento stabiliti in Paesi terzi a norma della direttiva 95/46/CE così come modificata dalla decisione di esecuzione della Commissione stessa in data 16 dicembre 2016).

Considerando che il trattamento della denuncia del sig. Schrems dipenda, in particolare, dalla validità della decisione 2010/87, l’autorità di controllo irlandese ha avviato un procedimento dinanzi alla High Court affinché quest’ultima presentasse alla Corte una domanda di pronuncia pregiudiziale. Successivamente all’avvio di detto procedimento la Commissione ha adottato la decisione (UE) 2016/1250 sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (decisione di esecuzione del 12 luglio 2016).

Con la sua domanda di pronuncia pregiudiziale, il giudice del rinvio interroga la Corte sull’applicabilità del GDPR a trasferimenti di dati personali fondati su clausole tipo di protezione contenute nella decisione 2010/87, sul livello di protezione richiesto da tale regolamento nel quadro di un trasferimento siffatto e sugli obblighi che incombono alle autorità di controllo in tale contesto. La High Court solleva inoltre la questione della validità tanto della decisione 2010/87 quanto della decisione 2016/1250.

Con la sua sentenza odierna, la Corte constata che, dall’esame della decisione 2010/87 alla luce della Carta dei diritti fondamentali (di seguito “la Carta”), non è emerso alcun elemento idoneo ad inficiarne la validità. La Corte dichiara, invece, invalida la decisione 2016/1250.

La Corte considera, anzitutto, che il diritto dell’Unione, e segnatamente il GDPR, si applica ad un trasferimento di dati personali effettuato a fini commerciali da un operatore economico stabilito in uno Stato membro verso un operatore economico stabilito in un Paese terzo anche se, durante o dopo detto trasferimento, tali dati possono essere soggetti a trattamento a fini di sicurezza pubblica, di difesa e di sicurezza dello Stato ad opera delle autorità del Paese terzo considerato. La Corte precisa che tale tipo di trattamento di dati ad opera delle autorità di un Paese terzo non può escludere un trasferimento siffatto dall’ambito di applicazione del regolamento GDPR.

Per quanto riguarda il livello di protezione richiesto nell’ambito di un trasferimento siffatto, la Corte dichiarache i requisiti previsti a tal fine dalle disposizioni del regolamento, attinenti a garanzie adeguate, diritti opponibili e mezzi di ricorso effettivi, devono essere interpretati nel senso che le persone i cui dati personali sono trasferiti verso un Paese terzo sulla base di clausole tipo di protezione dei dati devono godere di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione da detto regolamento, letto alla luce della Carta. In tale contesto essa precisa che la valutazione del suddetto livello di protezione deve prendere in considerazione tanto ciò che è stipulato contrattualmente tra l’esportatore dei dati stabilito nell’Unione e il destinatario del trasferimento stabilito nel Paese terzo considerato quanto, per quel che riguarda un eventuale accesso da parte delle pubbliche autorità di tale Paese terzo ai dati così trasferiti, gli elementi pertinenti del sistema giuridico di quest’ultimo.

Relativamente agli obblighi che incombono alle autorità di controllo nel contesto di un trasferimento siffatto, la Corte dichiara che, salvo che esista una decisione di adeguatezza validamente adottata dalla Commissione, tali autorità sono segnatamente tenute a sospendere o vietare un trasferimento di dati personali verso un Paese terzo quando ritengano, alla luce delle circostanze proprie di tale trasferimento, che le clausole tipo di protezione dei dati non siano o non possano essere rispettate in tale Paese e che la protezione dei dati trasferiti, richiesta dal diritto dell’Unione, non possa essere garantita con altri mezzi, ove l’esportatore stabilito nell’Unione Europea non abbia esso stesso sospeso tale trasferimento o messo fine a quest’ultimo.

La Corte esamina poi la validità della decisione 2010/87. Secondo la Corte, la validità di tale decisione non è rimessa in discussione dal solo fatto che le clausole tipo di protezione dei dati contenute in quest’ultima, per il loro carattere contrattuale, non vincolano le autorità del Paese terzo verso il quale potrebbe essere effettuato un trasferimento di dati.

Per contro, la Corte precisa che tale validità dipende dalla questione se la suddetta decisione contenga meccanismi efficaci che consentano, in pratica, di garantire che sia rispettato il livello di protezione richiesto dal diritto dell’Unione e che i trasferimenti di dati personali, fondati su tali clausole, siano sospesi o vietati in caso di violazione di tali clausole o di impossibilità di rispettarle. La Corte constata che la decisione 2010/87 instaura meccanismi di questo tipo e, a tal riguardo, sottolinea, in particolare, che tale decisione stabilisce un obbligo per l’esportatore dei dati e il destinatario del trasferimento di verificare, preliminarmente, che tale livello di protezione sia rispettato nel Paese terzo considerato, e inoltre che la decisione impone al suddetto destinatario di informare l’esportatore dei dati della sua eventuale impossibilità di conformarsi alle clausole tipo di protezione, con l’onere, in tal caso, per quest’ultimo di sospendere il trasferimento di dati e/o di risolvere il contratto concluso con il primo.

La Corte procede infine all’esame della validità della decisione 2016/1250 rispetto ai requisiti risultanti dal GDPR, letto alla luce delle disposizioni della Carta che garantiscono il rispetto della vita privata e familiare, la protezione dei dati personali e diritto ad una tutela giurisdizionale effettiva. A tal proposito la Corte rileva che la suddetta decisione, al pari della decisione 2000/520, sancisce il primato delle esigenze attinenti alla sicurezza nazionale, all’interesse pubblico e al rispetto della normativa statunitense, rendendo così possibili ingerenze nei diritti fondamentali delle persone i cui dati sono trasferiti verso tale Paese terzo.

Secondo la Corte, le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autorità statunitensi, di siffatti dati trasferiti dall’Unione verso tale Paese terzo, e che sono state valutate dalla Commissione nella decisione 2016/1250, non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione Europea, dal principio di proporzionalità, giacché i programmi di sorveglianza fondati sulla suddetta normativa non si limitano a quanto strettamente necessario.

Fondandosi sulle constatazioni che compaiono in tale decisione, la Corte rileva che, per taluni programmi di sorveglianza, da detta regolamentazione non emerge in alcun modo l’esistenza di limiti all’autorizzazione, in essa contenuta, dell’attuazione di tali programmi e neppure l’esistenza di garanzie per gli stranieri che possono esserne potenzialmente oggetto. La Corte aggiunge che la stessa normativa, pur se prevede requisiti che devono essere rispettati dalle autorità statunitensi nell’attuare i programmi di sorveglianza considerati, non conferisce agli interessati diritti nei confronti delle autorità statunitensi azionabili dinanzi ai giudici.

Quanto al requisito della tutela giurisdizionale, la Corte ritiene che, contrariamente a quanto considerato dalla Commissione nella decisione 2016/1250, il meccanismo di mediazione previsto da tale decisione non fornisce a tali persone un mezzo di ricorso dinanzi ad un organo che offra garanzie sostanzialmente equivalenti a quelle richieste nel diritto dell’Unione, tali da assicurare tanto l’indipendenza del mediatore previsto da tale meccanismo quanto l’esistenza di norme che consentano al suddetto mediatore di adottare decisioni vincolanti nei confronti dei servizi di intelligence statunitensi. Per tutte queste ragioni la Corte dichiara invalida la decisione 2016/1250.

Dalla lettura delle motivazioni, seppur sintetizzate nel documento, è facile comprendere come:

• Temi come la sicurezza nazionale di uno Stato interagiscano con quelli legati alla protezione dei dati di persone residenti in altri Stati, in questo caso dell’Unione Europea.
• Il Regolamento 2016/679 (GDPR) non ha barriere geografiche e politiche, attraversa l’oceano e si incunea nella legislazione degli Stati Uniti d’America mettendola in discussione allorquando la stessa normativa può interessare anche i cittadini europei.
• I big del web dovranno sempre più fare i conti con l’Unione Europea e con le sue leggi a tutela della protezione dei dati personali.
• L’Unione Europea si è ormai posta al vertice mondiale nella protezione delle persone in relazione ai loro dati, e ciò non poteva non essere, data sia la cultura giuridica sia quella filosofica dei Paesi che ne fanno parte, culture che hanno sempre posto al centro l’essere umano.

3. Data protection: cosa sta succedendo e cosa fare?

Le conclusioni della Corte di Giustizia Europea, muovono, quindi, in due direzioni:

1. Per un verso, la Corte di Giustizia ha dichiarato che “la decisione di esecuzione (UE) 2016/1250 della Commissione, del 12 luglio 2016, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (n.d.r. ovvero, il “Privacy Shield”), è invalida”.
2. Per altro verso, la Corte ha affermato che “- a meno che esista una decisione di adeguatezza validamente adottata dalla Commissione – l’Autorità di Controllo competente è tenuta a sospendere o a vietare un trasferimento di dati verso un Paese terzo effettuato sulla base di clausole tipo di protezione dei dati adottate dalla Commissione, qualora detta autorità di controllo ritenga, alla luce del complesso delle circostanze proprie di tale trasferimento, che le suddette clausole non siano o non possano essere rispettate in tale paese terzo e che la protezione dei dati trasferiti richiesta dal diritto dell’Unione, segnatamente dagli articoli 45 e 46 del RGDP e dalla Carta, non possa essere garantita con altri mezzi, ove il titolare del trattamento o il responsabile del trattamento stabiliti nell’Unione non abbiano essi stessi sospeso il trasferimento o messo fine a quest’ultimo”.

Pertanto, tale decisione assume un impatto rilevantissimo rispetto alle modalità attraverso cui le organizzazioni europee esportano i dati personali verso Paesi terzi e, in particolare, verso gli Stati Uniti, escludendo la validità del “Privacy Shield” ed al contempo rilevando che – in assenza di una decisione di adeguatezza – l’Autorità di Controllo competente, anche in presenza di clausole contrattuali tipo ai sensi dell’art.46.2, lett. c, GDPR,  è tenuta a sospendere o a vietare un trasferimento di dati verso un Paese terzo, ove ricorrano le seguenti condizioni:

• Le suddette clausole non siano o non possano essere rispettate in tale Paese terzo.
• La protezione dei dati trasferiti richiesta dal diritto dell’UE, segnatamente dagli articoli 45 e 46 del RGDP e dalla Carta, non possa essere garantita con altri mezzi.

Principio quest’ultimo suscettibile, peraltro, di estensione anche ad altri strumenti di trasferimento disciplinati dall’art. 46 GDPR, tra cui le Binding Corporate Rules.

E, quindi, cosa fare?

Interessanti sono a tal riguardo le tanto attese Raccomandazioni n.01/2020 dello European Data Protection Board (EDPB) – adottate il 10 novembre scorso e attualmente in fase di consultazione pubblica – sulle misure integrative degli strumenti di trasferimento al fine di garantire la conformità con il livello di protezione dei dati personali dell’UE

Attraverso tali Raccomandazioni 1/2020, l’EDPB definisce un piano di azione articolato in sei step:

1. Come primo step, l’EDPB invita le organizzazioni ad un’attenta mappatura dei trasferimenti di dati personali e, quindi, ad avere un quadro preciso circa i Paesi in cui si trovano i dati personali di cui l’organizzazione è titolare, verificando anche adeguatezza, pertinenza e coerenza con le finalità in relazione ai quali tali dati sono trattati.
2. Il secondo passaggio consisterà nella individuazione ai sensi dell’art.46 GDPR dello strumento su cui il trasferimento si basa. Nessun problema si porrà per i trasferimenti verso quei Paesi rispetto ai quali la Commissione Europea ha già accertato e dichiarato l’adeguatezza attraverso una delle sue decisioni ai sensi dell’articolo 45 GDPR o ai sensi della previgente Direttiva 95/46/CE, quanto meno sino a quando tali ultime decisioni resteranno in vigore. Solo per trasferimenti occasionali e non ripetitivi il titolare potrà altresì avvalersi di una delle deroghe espressamente previste dall’articolo 49 GDPR, tra cui il consenso degli interessati.
3. Il terzo step – quello che senza dubbio presenta maggiori elementi di complessità – consisterà nello stabilire se la legislazione o la prassi vigente nel Paese terzo ove vengono trasferiti dati personali possano interferire sull’adeguatezza degli strumenti ai quali il titolare si affida ai fini del trasferimento.

Al riguardo, l’EDPB invita all’osservanza delle Raccomandazioni n.2/2020 sulle Garanzie Essenziali Europee per le misure di sorveglianza – adottate anch’esse in data 10 novembre ed attualmente in fase di consultazione pubblica – in special modo, quando la normativa che regola l’accesso ai dati da parte delle autorità pubbliche per finalità di sorveglianza presenta profili di ambiguità o non è disponibile al pubblico.

In assenza di una normativa specifica, andranno considerati tutti i fattori che possano fare ritenere probabile un accesso da parte delle Autorità non in linea con gli standard europei.

A tal fine, le garanzie essenziali evidenziate dall’EDPB possono essere sintetizzate come segue:

1. Il trattamento dovrebbe essere basato su regole chiare, precise e accessibili.
2. La necessità e la proporzionalità rispetto agli obiettivi legittimi perseguiti dovrebbero essere dimostrate.
3. Un meccanismo di controllo indipendente dovrebbe esistere.
4. Rimedi efficaci dovrebbero essere disponibili per gli individui.

È inutile dire che per le organizzazioni meno strutturate questa attività di due diligence – in particolare con riguardo a Paesi terzi la cui normativa è meno conosciuta – potrebbe comportare oneri e costi difficilmente sostenibili.

4. Lo step successivo – nel caso in cui il Paese terzo presenti elementi di criticità – consisterà nell’identificare e adottare misure supplementari necessarie per portare il livello di protezione dei dati trasferiti sino allo standard UE essenziale.

Le Raccomandazioni 1/2020 dell’EDPB – a tal riguardo – includono un elenco non esaustivo di misure supplementari di natura contrattuale, di natura organizzativa e di natura tecnica, tra cui: la cifratura, la pseudonimizzazione e la frammentazione dei set di dati.

L’individuazione delle misure supplementari idonee, anche attraverso la loro combinazione, alla protezione dei dati dovrà essere, di volta in volta, valutato sulla base delle specifiche caratteristiche di ciascun trasferimento.

Ove nessuna delle misure individuate appaia idonea ad ovviare ai rischi rilevati e, quindi, a soddisfare le garanzie richieste, l’organizzazione dovrà considerare di sospendere o di interrompere il trasferimento dei dati.

In osservanza del principio di accountablity, le attività di assessment condotte dal titolare rispetto a questi due ultimi passaggi dovranno essere adeguatamente documentate.

5.  Più in generale, il quinto passaggio consisterà nell’adottare tutte le procedure formali necessarie all’adozione delle misure supplementari che saranno individuate, facendo riferimento alle Raccomandazioni 1/2020 dell’EDPB. Procedure che potrebbero anche includere la consultazione del Garante.

6. Il sesto e ultimo passaggio consisterà, infine, nel monitoraggio periodico circa l’adeguatezza delle misure adottate, anche alla luce di possibili sviluppi idonei a minarne l’efficacia.

L’EDPB richiama, infine, il ruolo delle Autorità di Controllo che – come osservato dalla Corte di Giustizia Europea con la sua decisione sul caso Schrems II – dovranno sospendere o proibire i trasferimenti nei casi in cui rilevassero che un livello di protezione con quello garantito dall’Unione Europeo non possa essere garantito dal Paese di destinazione dei dati.

Prima di concludere, appare opportuno segnalare un’altra novità che avrà grandi impatti sul trasferimento di dati al di fuori dei confini europei. La Commissione Europea – in data 12 novembre – ha infatti pubblicato la prima bozza di un nuovo set di clausole standard per i trasferimenti di dati personali da un titolare o un responsabile soggetto al GDPR verso titolari o responsabili nei cui confronti il GDPR non è direttamente applicabile. 

Sicuramente novità molto importanti su cui i DPO di organizzazioni convolte in flussi di dati verso Paesi extraeuropei sono chiamati a ragionare con grande attenzione.

Articolo a cura del Gruppo Privato del Comitato Scientifico ASSO DPO