La decisione della Corte di giustizia dell’Unione europea (CGUE) nel caso di Schrems II (DPC Ireland contro Facebook Ireland e Schrems) è stata annunciata oggi, dichiarando la CJEU invalida la decisione della Commissione europea 2016/1250 sul livello adeguato di protezione dei dati personali all’interno dell’UE-USA accordo sulla protezione della privacy.
Le organizzazioni possono trasferire dati personali dall’UE a paesi terzi, compresi gli Stati Uniti, su una varietà di basi. O lo stato garantisce un livello adeguato di protezione dei dati personali e questo è stato stabilito dalla Commissione Europea nella sua decisione – questa era la situazione nel caso dello “scudo per la privacy”, che la Commissione Europea ha trovato per fornire un’adeguata protezione dei dati.
Tuttavia, i dati possono anche essere trasferiti nell’ambito di altri meccanismi ai sensi dell’articolo 46 del regolamento generale sulla protezione dei dati, in particolare sulla base di clausole contrattuali standard (contratti standard adottati anche dalla Commissione europea) e regole commerciali vincolanti adottate dall’organizzazione e approvate dall’autorità di controllo. autorità dell’UE) di cui all’articolo 47 o, in caso di eccezioni previste dall’articolo 49 del regolamento generale sulla protezione dei dati, in caso di trasferimenti non di massa o ripetitivi, ad es. basato sul consenso dell’individuo.
La Corte di giustizia dell’UE ha abolito il cosiddetto scudo per la privacy, lasciando alle organizzazioni gli altri meccanismi di trasferimento dei dati elencati, di cui devono occuparsi al più presto. La divulgazione dei dati personali è ancora possibile a condizione che lo stesso responsabile del trattamento dei dati personali fornisca adeguate garanzie per garantire la protezione della privacy e dei diritti e delle libertà fondamentali delle persone.
Le società europee che esportano dati personali devono essere consapevoli di essere responsabili della valutazione della liceità dell’esportazione e dell’ulteriore trattamento e che devono garantire che tutti i principi di protezione dei dati europei siano coperti e rispettati in ogni caso di trasferimento di dati personali. Le organizzazioni che esportano dati negli Stati Uniti e finora hanno fatto affidamento sul fatto che il destinatario fosse un’azienda che può essere trovata nel cosiddetto elenco Privacy Shield, devono garantire che i trasferimenti siano giustificati quanto prima su un’altra base (ad esempio clausole contrattuali standard, regole commerciali vincolanti, eccezioni). In caso contrario, i dati potrebbero non essere trasmessi negli Stati Uniti.
In una situazione molto simile nel 2015, quando la Corte di giustizia dell’Unione europea ha annullato il predecessore dello scudo per la privacy, vale a dire l’accordo Safe Harbor, le organizzazioni spesso basavano i trasferimenti di dati negli Stati Uniti su clausole contrattuali standard concluse con organizzazioni partner.
La Corte di giustizia dell’UE ha basato la sua argomentazione per l’annullamento dello scudo per la privacy sulla constatazione che la protezione dei dati personali prevista dalla legge degli Stati Uniti non è allo stesso livello come nell’UE.
In particolare, ha attirato l’attenzione sui poteri insufficientemente limitati delle autorità statunitensi di accedere ai dati trasferiti e alla protezione inefficace attraverso il Mediatore, che dovrebbe garantire l’esercizio dei diritti delle persone negli Stati Uniti.
In questo contesto, altri meccanismi di trasferimento dei dati che le organizzazioni dell’UE dovranno utilizzare, ad es. clausole contrattuali standard o norme commerciali vincolanti, assicurano un livello più elevato di protezione dei diritti delle persone.