Condividiamo alcuni spunti sul trasferimento dei dati al di fuori del SEE raccolti da Giulio Coraggio con il collega irlandese di DLA Piper, John Magee, al Privacy Symposium.
Ecco i nostri 5 punti salienti sul trasferimento dei dati emersi dal Privacy Symposium di Venezia
1. Il Dipartimento della Giustizia degli Stati Uniti sta mantenendo i dettagli del Privacy Shieldriservati, tuttavia ha confermato che i nuovi meccanismi di ricorso giudiziario e di supervisione si applicheranno non solo al PS, ma a tutti i meccanismi di trasferimenti dei dati.
2. I garanti privacy nazionali stanno dando all’annuncio del nuovo Privacy Shield un’accoglienza tiepida. Mentre accolgono con favore il fatto che sia progettato per affrontare direttamente i problemi identificati nella sentenza Schrems II, stanno anche notando che esistono conflitti fondamentali tra i sistemi giuridici e segnalando una revisione dettagliata e critica della decisione di adeguatezza.
3. La Commissione europea è a favore del nuovo accordo, anche se ha notato che ci vorrà del tempo per entrare in vigore, con la necessità di passare attraverso il processo di proposta di decisione di adeguatezza, la redazione, la consultazione del Parlamento e dell’EDPB e l’approvazione. Non hanno voluto indicare i tempi precisi.
4. C’è stato un acceso scambio di opinioni sull’approccio basato sul rischio per condurre i trasfer impact assessment (TIA). I garanti continuano a sostenere che la CGUE non ha previsto la considerazione di elementi soggettivi, come la precedente esperienza dell’importatore con le richieste, mentre la Commissione ha approvato il punto di vista che l’articolo 24 del GDPR e le SCCs richiedono un approccio basato sul rischio che consideri tutti i fatti pertinenti, a condizione che un’azienda conduca una “valutazione credibile, seria e documentata“. Le autorità hanno notato che stanno vedendo le organizzazioni presentare TIA di scarsa qualità con la maggior parte dei criteri di natura soggettiva. L’autorità privacy tedesca ha notato la necessità per le autorità di iniziare a muoversi verso un’applicazione più proattiva piuttosto che reagire solo ai reclami.
5. Le misure funzionali a garantire l’osservanza del Privacy Shield saranno introdotti con tutta probabilità tramite executive order che potrebbero aggiungere un ulteriore elemento di incertezza perchè possono essere facilmente revocati con un provvedimento del Presidente, come successo ad esempio dopo la nomina di Trump.
E’ probabile che molte aziende decideranno di continuare ad eseguire le TIA, anche dopo l’approvazione del PS per non trovarsi senza difese in caso di uno caso Schrems III, fermo restando che le TIA rimarranno necessarie per il trasferimento verso altri paesi considerati non adeguati.
Ancora alcune aziende non sanno come svolgere le TIA, e il tool di legal tech Transfer di DLA Piper per supportare le aziende nelle TIA in questa attività può essere di notevole aiuto ed è usato già da 150+ aziende. Potete avere maggiori informazioni su Transfer sulla pagina dedicata del sito di DLA Piper QUI
Speriamo che sia utile!
Potete leggere di più sul possibile Privacy Shield II nell’articolo “Un nuovo Privacy Shield è la soluzione per i trasferimenti di dati ai sensi del GDPR?“.