La Corte di Giustizia si è oggi espressa nella disputa da molti definita come “Schrems 2.0”, seguendo solo parzialmente le conclusioni dell’Avvocato Generale e dichiarando rispettivamente:
- l’invalidità del c.d. Privacy Schield, che regolava il trasferimento di dati tra UE e US, in quanto non solo non garantisce un livello di tutela equivalente a quello richiesto dalla normativa vigente ed applicabile in UE ma anche diritti azionabili e mezzi di ricorso effettivi ai soggetti interessati;
- la validità delle clausole contrattuali tipo approvate dalla Commissione Europea, c.d. SSC, fintanto che siano in grado di garantire un livello di protezione equivalente a quello richiesto dal GDPR.
A seguito di ciò:
- i titolari del trattamento, quali data exporter, ma anche i data recipient, dovranno rivedere i vari accordi stipulati sulla base delle SSC;
- le varie DPAs avranno l’obbligo di garantire l’effettività degli obblighi previsti dal GDPR e pertanto, in presenza di reclami, dovranno verificare che le SSC siano in grado di garantire il livello di protezione richiesto ed in caso contrario sospendere o proibire il trasferimento;
- oltre alle SSC, restano validi altri strumenti quali le BCR e le deroghe ex art. 49.
Ancora, è importante segnalare che:
- la decisione riguarda solo i casi di trasferimenti di una grande mole di dati verso gli Stati Uniti e non i casi di “necessary flows” quali, ad es. invio di una e-mail, pagamenti e che restano regolati dalle deroghe previste ex art. 49 GDPR;
- le SSC non legittimano il trasferimento di dati verso US e quindi non potranno essere utilizzate da parte delle Big Tech, quali Facebook, Microsoft e altre società soggette a leggi di sorveglianza quali FISA 702.
È possibile scaricare il comunicato ufficiale della Corte qui ed il provvedimento integrale qui.
Il tema verrà approfondito con un articolo dettagliato nelle prossime settimane.
