Illegale il trasferimento in USA dei dati personali protetti dal GDPR

Nella sentenza del 16/07/2020, causa C-311/18, la Corte di Giustizia Europea ha rivisto l’operato della Commissione Europea, dichiarando invalida la decisione 2016/1250 della Commissione sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy, alla luce delle novità introdotte dal GDPR – Regolamento Generale sulla Protezione dei dati personali n. 2016/679.

La Corte ha considerato, anzitutto, che il GDPR dispone che per procedere al trasferimento di dati personali siano necessarie garanzie adeguate, diritti opponibili e mezzi di ricorso effettivi.

Il Comitato Europeo per la Protezione dei Dati (EDPB), nelle faq di luglio 2020, sottolinea che secondo la Corte, i requisiti della normativa interna degli Stati Uniti, e in particolare taluni programmi che consentono l’accesso da parte delle autorità pubbliche statunitensi, per finalità di sicurezza nazionale, ai dati personali trasferiti dall’Unione europea verso gli Stati Uniti, determinano limitazioni della protezione dei dati personali che non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti nel diritto dell’Unione, e che questa legislazione non conferisce agli interessati diritti nei confronti delle autorità statunitensi azionabili dinanzi ai giudici.

Qualora i dati possano essere trasferiti verso gli Stati Uniti e non siano prevedibili misure supplementari atte a garantire che la legislazione statunitense non interferisca con il livello di protezione sostanzialmente equivalente a quello garantito nel SEE – Spazio Economico Europeo – fornito dagli strumenti di trasferimento, né si applichino le deroghe di cui all’articolo 49 del RGPD, l’unica soluzione è negoziare una modifica o una clausola supplementare al contratto al fine di vietare i trasferimenti verso gli Stati Uniti. Non solo la conservazione, ma anche l’amministrazione, dei dati deve avvenire in un luogo diverso dagli Stati Uniti.

Nel caso in cui i dati possano essere trasferiti in un altro paese terzo, è necessario verificare anche la legislazione di tale paese terzo per accertarne la conformità ai requisiti della Corte e al livello di protezione dei dati personali atteso.
Qualora sia impossibile trovare un motivo appropriato per il trasferimento verso un paese terzo, i dati personali non dovrebbero essere trasferiti al di fuori del territorio del SEE e tutte le attività di trattamento dovrebbero avere luogo all’interno del SEE.

Le conseguenze della decisione della Corte di Giustizia causa C-311/18 sono dirompenti.

L’inadeguatezza delle protezioni al GDPR dei trasferimenti dei dati personali tra UE e USA hanno ripercussioni su qualsiasi operatore che tratti dati personali utilizzando software e servizi resi da aziende statunitensi o che comunque utilizzano server con sede negli USA.

I trasferimenti dei dati personali sulla base di questo quadro giuridico sono illegali. La valutazione della Corte si applica anche nel contesto delle norme vincolanti d’impresa, poiché la legislazione statunitense avrà la preminenza anche su questo strumento.

Il contratto concluso con un responsabile del trattamento a norma dell’articolo 28, paragrafo 3, del GDPR, deve stabilire se i trasferimenti sono autorizzati o meno. Va, infatti, considerato che anche fornire accesso ai dati da un paese terzo, ad esempio per finalità amministrative, costituisce un trasferimento.

Deve essere prevista, inoltre, un’autorizzazione riguardo ai responsabili del trattamento affinché possano affidare a subresponsabili il trasferimento dei dati verso paesi terzi. È necessario prestare attenzione e usare cautela poiché numerose soluzioni informatiche possono comportare il trasferimento di dati personali verso un paese terzo, ad esempio, per scopi di conservazione o manutenzione.

Non esiste, infine, un periodo di tolleranza durante il quale si possono continuare a trasferire i dati verso gli Stati Uniti senza valutare la base giuridica per il trasferimento a norma del GDPR.

Per evitare di incorrere in pesanti sanzioni, si consiglia, infine, di non utilizzare software delle big tech USA per il trattamento dei dati personali, la gestione degli stessi in cloud e la loro conservazione. Attenzione anche alla nomina di Responsabili o subresponsabili del trattamento situati in paesi extra SEE che potrebbero trasferire, indirettamente, i dati personali negli USA.

Dott. Igino Addari

DPO

Actaprivacy software online per l’adempimento del GDPR

Per l’attuazione degli obblighi richiesti dal nuovo Regolamento UE Software web based ActaPrivacy per la gestione degli adempimenti previsti per la protezione dei dati personali dal GDPR 2016/679.

ACTAINFO Servizi informativi e telematici

Fornitore abilitato al MEPA – Mercato Elettronico della Pubblica Amministrazione.
Realizzazione, gestione, fornitura di: siti web, servizi privacy, firme digitali, marche temporali, PEC, conservazione digitale, archiviazione

Online ActaFOIA, applicativo con accesso SPID e registro FOIA.

Il Dlgs. 25 maggio 2016, n. 97 prevede che ogni cittadino possa accedere senza alcuna motivazione ai dati in possesso della Pubblica Amministrazione e che non abbia la possibilità di ricevere rifiuto alla richiesta di informazioni, se non motivato. L’Articolo 5 introduce una nuova forma di accesso civico ai dati e documenti pubblici equivalente a […]

Microsoft word a Rischio Privacy per salvataggio One Drive

Da agosto 2025, Microsoft ha annunciato che Word per Windows salverà automaticamente tutti i nuovi documenti su OneDrive per impostazione predefinita. Estenderà il modello di salvataggio su cloud predefinito a tutti gli di Excel e PowerPoint nel corso dell’anno. Microsoft presenta questo cambiamento come un vantaggio per la sicurezza, la conformità, la collaborazione e le […]

Scade 31 dicembre 2025 – Dataset Open Data – Piano ICT

Come riportato tra gli adempimenti di AGID sul Piano Triennale Informatica 2024-26, scade il 31 Dicembre 2025 per – Ogni Comune con popolazione tra 10.000 e 100.000 abitanti, ogni Unione di Comuni o altri tipi di consorzi e associazioni, ogni Comunità Montana o isolana pubblica (non ancora presenti nel 2024 nel catalogo dati.gov.it) pubblicano e […]

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Servizi Web PA

PEC

Servizi Web Privati

Formazione

AI - Privacy UE - Cybersecurity

Amministrazione Digitale