La flowchart di DLA Piper spiega sinteticamente il rischio derivante dai trasferimenti di dati dopo la sentenza Schrems II con riferimento ai contratti con fornitori extra SEE, con un approccio di legaldesign.
In un precedente articolo abbiamo trattato della sentenza c.d. Schrems II, con cui la Corte di giustizia europea ha invalidato il Privacy Shield, il meccanismo che permetteva il trasferimento di dati personali negli Stati Uniti.
La sentenza ha delle implicazioni importanti per le aziende che trasferiscono dati fuori dall’UE, e potenzialmente sui contratti di servizi con fornitori extra-UE, in particolare sui contratti per la fornitura di servizi IT che prevedono la possibilità da parte del personale dei fornitori fuori dall’Europa, di accedere ai dati, anche se ospitati in database all’interno del territorio europeo.
Per rispondere alle domande più frequenti sugli impatti della sentenza sui contratti in essere, l’Autorità di Controllo della Renania-Palatinato (uno dei 16 stati federati della Germania) ha pubblicato delle FAQ, che abbiamo riassunto, tradotto ed adattato, con un approccio di Legal Design, nella flowchart qui di sotto.
Per aiutare le organizzazioni a identificare e gestire i rischi privacy associati al trasferimento di dati personali regolati dal GDPR verso paesi terzi che non beneficiano di una decisione di adeguatezza della Commissione europea, abbiamo realizzato una metodologia ad hoc, allineata ai requisiti della normativa europea a seguito della sentenza Schrems II che è descritta in questo articolo. La metodologia fornisce una base per gli esportatori e gli importatori di dati per valutare le misure di salvaguardia, prendendo in considerazione diversi fattori, al fine di calcolare il livello di rischio di ogni trasferimento, e per offrire una base accurata, coerente, verificabile e difendibile a sostegno della decisione, svolta caso per caso, di procedere o continuare un determinato trasferimento.
Autore: DLA Piper
