Illegale il trasferimento in USA dei dati personali protetti dal GDPR

25/10/2020

Nella sentenza del 16/07/2020, causa C-311/18, la Corte di Giustizia Europea ha rivisto l’operato della Commissione Europea, dichiarando invalida la decisione 2016/1250 della Commissione sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy, alla luce delle novità introdotte dal GDPR – Regolamento Generale sulla Protezione dei dati personali n. 2016/679.

La Corte ha considerato, anzitutto, che il GDPR dispone che per procedere al trasferimento di dati personali siano necessarie garanzie adeguate, diritti opponibili e mezzi di ricorso effettivi

Il Comitato Europeo per la Protezione dei Dati (EDPB), nelle faq di luglio 2020, sottolinea che secondo la Corte, i requisiti della normativa interna degli Stati Uniti, e in particolare taluni programmi che consentono l’accesso da parte delle autorità pubbliche statunitensi, per finalità di sicurezza nazionale, ai dati personali trasferiti dall’Unione europea verso gli Stati Uniti, determinano limitazioni della protezione dei dati personali che non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti nel diritto dell’Unione, e che questa legislazione non conferisce agli interessati diritti nei confronti delle autorità statunitensi azionabili dinanzi ai giudici.

Qualora i dati possano essere trasferiti verso gli Stati Uniti e non siano prevedibili misure supplementari atte a garantire che la legislazione statunitense non interferisca con il livello di protezione sostanzialmente equivalente a quello garantito nel SEE – Spazio Economico Europeo –  fornito dagli strumenti di trasferimento, né si applichino le deroghe di cui all’articolo 49 del RGPD, l’unica soluzione è negoziare una modifica o una clausola supplementare al contratto al fine di vietare i trasferimenti verso gli Stati Uniti. Non solo la conservazione, ma anche l’amministrazione, dei dati deve avvenire in un luogo diverso dagli Stati Uniti.

Nel caso in cui i dati possano essere trasferiti in un altro paese terzo, è necessario verificare anche la legislazione di tale paese terzo per accertarne la conformità ai requisiti della Corte e al livello di protezione dei dati personali atteso.
Qualora sia impossibile trovare un motivo appropriato per il trasferimento verso un paese terzo, i dati personali non dovrebbero essere trasferiti al di fuori del territorio del SEE e tutte le attività di trattamento dovrebbero avere luogo all’interno del SEE.

Le conseguenze della decisione della Corte di Giustizia causa C-311/18 sono dirompenti.

L’inadeguatezza delle protezioni al GDPR dei trasferimenti dei dati personali tra UE e USA hanno ripercussioni su qualsiasi operatore che tratti dati personali utilizzando software e servizi resi da aziende statunitensi o che comunque utilizzano server con sede negli USA.

I trasferimenti dei dati personali sulla base di questo quadro giuridico sono illegali. La valutazione della Corte si applica anche nel contesto delle norme vincolanti d’impresa, poiché la legislazione statunitense avrà la preminenza anche su questo strumento.

Il contratto concluso con un responsabile del trattamento a norma dell’articolo 28, paragrafo 3, del GDPR, deve stabilire se i trasferimenti sono autorizzati o meno. Va, infatti, considerato che anche fornire accesso ai dati da un paese terzo, ad esempio per finalità amministrative, costituisce un trasferimento.

Deve essere prevista, inoltre, un’autorizzazione riguardo ai responsabili del trattamento affinché possano affidare a subresponsabili il trasferimento dei dati verso paesi terzi. È necessario prestare attenzione e usare cautela poiché numerose soluzioni informatiche possono comportare il trasferimento di dati personali verso un paese terzo, ad esempio, per scopi di conservazione o manutenzione.

Non esiste, infine, un periodo di tolleranza durante il quale si possono continuare a trasferire i dati verso gli Stati Uniti senza valutare la base giuridica per il trasferimento a norma del GDPR.

Per evitare di incorrere in pesanti sanzioni, si consiglia, infine, di non utilizzare software delle big tech USA per il trattamento dei dati personali, la gestione degli stessi in cloud e la loro conservazione. Attenzione anche alla nomina di Responsabili o subresponsabili del trattamento situati in paesi extra SEE che potrebbero trasferire, indirettamente, i dati personali negli USA.           

  

Dott. Igino Addari

DPO

   

    
 

Actaprivacy software online per l’adempimento del GDPR

Per l’attuazione degli obblighi richiesti dal nuovo Regolamento UE Software web based ActaPrivacy per la gestione degli adempimenti previsti per la protezione dei dati personali dal GDPR 2016/679. 

 

   

ACTAINFO Servizi informativi e telematici

Fornitore abilitato al MEPA – Mercato Elettronico della Pubblica Amministrazione. 
Realizzazione, gestione, fornitura di: siti web, servizi privacy, firme digitali, marche temporali, PEC, conservazione digitale, archiviazione

    

 

   

TAG

Leggi anche

Europa e sua dipendenza tecnologica da Usa e Cina

Riportiamo una realistica valutazione sulla tanto dibattuta rincorsa UE, in ordine sparso, alla sovranità digitale, espressa dal rappresentante di uno stato membro della UE.Nelle prossime settimane, infatti, la Commissione europea presenterà un nuovo pacchetto legislativo sulla sovranità digitale.Secondo Juha Martelius, capo del Servizio di sicurezza e intelligence finlandese (Supo), l’autonomia tecnologica del continente resterà un […]

Nuovi domini internet 2026 con nomi di località, istituzioni e marchi

Dal 30 aprile al 12 agosto 2026 sarà possibile presentare le domande per la creazione di nuovi domini web, con la possibilità di opporsi agli usi impropri. Una novità per il sistema degli indirizzi internetICANN (Internet Corporation for Assigned Names and Numbers), organismo internazionale responsabile del coordinamento del sistema dei nomi a dominio (DNS – […]

ActyAI al servizio dei Comuni per pubblicare notizie

Anche il Comune di Roseto degli Abruzzi utilizza ActyAI Overview, un chatbot di intelligenza artificiale sviluppato da Actainfo, per la pubblicazione di articoli, comunicati e notizie sul proprio sito web. Questo strumento, integrato nel software in cloud ACTAGOV qualificato da ACN per la gestione dei siti web, è in grado di elaborare e sintetizzare informazioni […]

Contattaci

Per maggiori informazioni contattaci compilando questo modulo. Ti ricontatteremo quanto prima possibile.

Informativa Privacy art. 13 GDPR UE 2016/679

Actainfo s.r.l.

sede legale: via boccaccio 4
sede operativa: Via patini 5
64026 Roseto degli Abruzzi (TE)

ICT-Transizione Digitale-PNRR-Servizi digitali CLOUD-Privacy GDPR
Portali WEB-Cybersecurity-AI Intelligenza Artificiale-Conservazione
Formazione specialistica on line-FAD-Marketing e comunicazione
Servizi Qualificati Marketplace ACN, Abilitazioni MEPA 2009 e 2017
Aggregatore SPID Intermediario tecnologico convenzionato AGID

Facebook-f Twitter Telegram-plane
  • Telefono: +39 085 2010274 - 2194581 - 2015591
  • Email: info@actainfo.it
  • PEC: info@actapec.it
  • P.IVA: 01901750677