Quattro garanti della privacy tedeschi apprezzano le clausole aggiuntive proposte da un operatore per i trasferimenti dei dati dopo la sentenza Schrems II

La decisione di un tech giant di adottare clausole aggiuntive per il trasferimento dei dati dopo la sentenza Schrems II è stata elogiata dalle autorità tedesche per la tutela della privacy e potrebbe innescare un effetto domino.

I Garanti privacy del Baden-Württemberg, della Baviera e dell’Assia hanno pubblicato dei comunicati stampa sulle nuove clausole contrattuali aggiuntive proposte da un tech giant americano per gestire i trasferimenti dei dati personali al di fuori dello SEE dopo la sentenza Schrems II, definendole come “preziose nella ricerca congiunta della certezza del diritto per il trasferimento di dati verso gli Stati Uniti e verso altri Stati i cui sistemi giuridici non possono garantire in modo sufficiente lo standard di protezione previsto dal GDPR“.

A seguito delle raccomandazioni pubblicate dall’EDPB sulle SCC illustrate in questo articolo, secondo i garanti privacy tedeschi, questa iniziativa è un esempio per tutti i soggetti chiamati a trovare nella ricerca di soluzioni giuridicamente valide circa le misure di protezione adeguate da garantire in sede di trasferimento internazionale di dati.

Le proposte presentate mirano a un rafforzamento dei i diritti degli utenti. In particolare, contengono disposizioni relative a:

  • la gestione delle informazioni degli interessati nel caso in cui la società sia chiamata dal governo a rilasciare i loro dati alle autorità di sicurezza statunitensi;
  • l’obbligo della società di intraprendere un’azione legale per contestare l’ordine del governo di divulgare i dati dell’interessato; e
  • il diritto al risarcimento dei danni all’interessato che abbia subito danni materiali o morali in conseguenza del trattamento illecito dei suoi dati personali;

La valutazione effettuata dalle varie autorità di controllo sulla protezione dei dati personali finora intervenute rivela che l’iniziativa non è sufficiente a risolvere in completo il problema del trasferimento dei dati verso gli Stati Uniti, perché tale aggiunta di disposizioni alle clausole contrattuali standard non impedisce comunque l’accesso ai dati degli interessati da parte dei servizi segreti americani, che rappresenta uno dei punti critici più rilevanti sollevati dalla Corte di Giustizia europea nella famosa sentenza Schrems II.

Le raccomandazioni dello European Data Protection Board sui trasferimenti di dati personali al di fuori dello SEE non sono vincolanti per loro natura, ma danno delle indicazioni circa la valutazione del trasferimento che i garanti privacy si attendono da parte delle aziende. A tal fine, noi di DLA Piper abbiamo aggiornato la mostra metodologia per la valutazione dei trasferimenti di dati personali alla luce delle raccomandazioni e potete leggere maggiori informazioni al riguardo in questo articolo.