Nadia Arnaboldi, esperta privacy e data protection dell'associazione ASSO DPO:
Con sentenza odierna c.d. Schrems II la Corte di Giustizia UE ha giudicato valida la decisione della Commissione Europea 2010/87 relativa alle clausole contrattuali standard per il trasferimento dei dati ed al contempo invalidato l’accordo Privacy Shield per il trasferimento dei dati personali dall’UE verso gli USA, peraltro criticato fin dall’inizio sia dal Gruppo di Lavoro Articolo 29 e successivamente dal Comitato Europeo per la protezione dei dati.
Si ripresenta, pertanto, lo scenario già vissuto nell’ottobre 2015 quando la stessa Corte aveva invalidato l’accordo Safe Harbor UE-US. In attesa di indicazioni da parte del Comitato Europeo sulla protezione dei dati e delle Autorità di Controllo, è necessario verificare i trasferimenti di dati personali verso gli USA basati sul Privacy Shield, illeciti alla luce dell’odierna sentenza, ed adottare le clausole contrattuali standard che permangono valide, salvo l’adozione delle altre modalità per il trasferimento dei dati lecite previste dal GDPR.
La sentenza attribuisce, inoltre, alle autorità di controllo la verifica del lecito trasferimento dei dati con il potere di sospenderlo o vietarlo se ritiene che le clausole contrattuali standard non siano o non possano essere rispettate nel paese dell’importatore.
In tale scenario assume un ruolo chiave il DPO che dovrà informare il titolare del trattamento e sorvegliare le azioni attuate per consentire un lecito trasferimento dei dati e che non si limitano all’adozione delle clausole contrattuali standard, ma si estendono a tutta la correlata compliance in materia di protezione dei dati (dalle basi giuridiche all’aggiornamento del registro delle attività di trattamento).
La violazione delle disposizioni in materia di trasferimento dei dati personali è sanzionata ex art. 83, par. 5 del GDPR (fino a 20 milioni o il 4% del fatturato totale mondiale totale annuo dell’esercizio precedente).
Fonte: key4biz