La Corte di Giustizia si è oggi espressa nella disputa da molti definita come “Schrems 2.0”, seguendo solo parzialmente le conclusioni dell’Avvocato Generale e dichiarando rispettivamente:
- l’invalidità del c.d. Privacy Schield, che regolava il trasferimento di dati tra UE e US, in quanto non solo non garantisce un livello di tutela equivalente a quello richiesto dalla normativa vigente ed applicabile in UE ma anche diritti azionabili e mezzi di ricorso effettivi ai soggetti interessati;
- la validità delle clausole contrattuali tipo approvate dalla Commissione Europea, c.d. SSC, fintanto che siano in grado di garantire un livello di protezione equivalente a quello richiesto dal GDPR.
A seguito di ciò:
- i titolari del trattamento, quali data exporter, ma anche i data recipient, dovranno rivedere i vari accordi stipulati sulla base delle SSC;
- le varie DPAs avranno l’obbligo di garantire l’effettività degli obblighi previsti dal GDPR e pertanto, in presenza di reclami, dovranno verificare che le SSC siano in grado di garantire il livello di protezione richiesto ed in caso contrario sospendere o proibire il trasferimento;
- oltre alle SSC, restano validi altri strumenti quali le BCR e le deroghe ex art. 49.
Ancora, è importante segnalare che:
- la decisione riguarda solo i casi di trasferimenti di una grande mole di dati verso gli Stati Uniti e non i casi di “necessary flows” quali, ad es. invio di una e-mail, pagamenti e che restano regolati dalle deroghe previste ex art. 49 GDPR;
- le SSC non legittimano il trasferimento di dati verso US e quindi non potranno essere utilizzate da parte delle Big Tech, quali Facebook, Microsoft e altre società soggette a leggi di sorveglianza quali FISA 702.
È possibile scaricare il comunicato ufficiale della Corte qui ed il provvedimento integrale qui.
Il tema verrà approfondito con un articolo dettagliato nelle prossime settimane.
Laureata nel 2017 presso l’Università Commerciale Luigi Bocconi con una tesi in privacy e data protection. Praticante Avvocato presso il dipartimento di ICT & Data Protectioe dello Studio legale Simmons & Simmons.
