Il Privacy Shield rispetta il GDPR?

Il Privacy Shield rispetta il GDPR?

Una recente sentenza dell’alta corte di giustizia europea ha invalidato l’accordo che permette di trasferire dati personali tra Europa e Stati Uniti. Vediamo le conseguenze.

Grande turbamento ha generato, nel mondo degli addetti al trattamento di dati personali, il fatto che una recente sentenza della corte di giustizia europea abbia ritenuto che l’accordo stipulato fra l’unione europea e gli Stati Uniti, chiamato privacy shield, non sia sufficientemente garantistico nei confronti del regolamento generale europeo sulla protezione dei dati personali. Riporto in allegato a questo appunto il testo completo della sentenza, perché è bene che i lettori cerchino di avere una conoscenza di prima mano di delicati problemi, che non sempre possono essere sintetizzati in quattro parole, messe all’interno di un articoletto assai breve.

Ricordo ai lettori che anni addietro era in vigore, con le stesse finalità, un accordo chiamato safe harbor. Con l’entrata in vigore del nuovo regolamento europeo, si ritenne che il precedente safe harbor non fosse sufficientemente garantistico e l’unione europea ed il Dipartimento del commercio degli Stati Uniti si misero a lavorare di buzzo buono per mettere a punto un nuovo documento, che fu chiamato appunto privacy shield. Questo documento, approvato dal parlamento europeo, prevede una revisione annuale, per essere certi che le sue disposizioni siano sempre allineate con l’evoluzione della legislazione, in tema di protezione dei dati, in Europa.

Pubblicità

In sintesi, questo documento consente alle aziende americane di acquisire dati, provenienti dall’Europa, dichiarando di rispettare, in regime di autocertificazione, tutta una serie di regole, non dissimili da quelle in vigore in Europa. Il problema nasce appunto dal fatto che questa autocertificazione non viene verificata da organi terzi, se non quando si verifica qualche guaio e quindi quando ormai è troppo tardi. D’altro canto, il Dipartimento del commercio degli Stati Uniti non ha né risorse né desiderio di effettuare operazioni di validazione e certificazione, seppure con carattere casuale, delle centinaia di migliaia di aziende che scambiano dati tra l’Europa e gli Stati Uniti.

Prima che i lettori pensino che questa sentenza dell’alta corte possa di colpo bloccare ogni trasferimento di dati, è bene non solo leggerla attentamente, ma tenere comunque presente che è possibile trasferire dati personali dall’Europa verso aziende, situate in paesi terzi, mediante la stipula di regole condivise, chiamate regole vincolanti di impresa. Ormai sono decine di migliaia le aziende europee che esportano dati personali in India, Pakistan ed altri paesi, la cui legislazione locale è lungi dall’essere rispettosa delle avanzate esigenze europee. Se però l’azienda locale si impegna a rispettare determinate regole, il trasferimento può avvenire.

Prego i lettori di attendere quindi qualche settimana, prima di assumere decisioni in merito, e soprattutto di non assumere decisioni senza aver letto con molta attenzione l’allegato testo della sentenza europea.

Allegato sentenza europea_ENG (pdf)

Allegato sentenza europea_ ITA (pdf)  

Adalberto Biasiotti

Questo articolo è pubblicato sotto una Licenza Creative Commons.

I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.