{"id":572,"date":"2020-10-20T09:27:00","date_gmt":"2020-10-20T09:27:00","guid":{"rendered":"https:\/\/www.polimeni.legal\/?p=572"},"modified":"2023-05-10T09:28:19","modified_gmt":"2023-05-10T09:28:19","slug":"trasferimento-dei-dati-in-usa-dopo-la-sentenza-schrems-ii-cosa-accade-a-chi-era-gia-compliant","status":"publish","type":"post","link":"https:\/\/www.polimeni.legal\/articoli\/uncategorized\/trasferimento-dei-dati-in-usa-dopo-la-sentenza-schrems-ii-cosa-accade-a-chi-era-gia-compliant\/","title":{"rendered":"Trasferimento dei dati in USA dopo la sentenza Schrems II: cosa accade a chi era gi\u00e0 compliant?"},"content":{"rendered":"\n

Trasferimento dei dati in USA dopo la sentenza Schrems II: cosa accade a chi era gi\u00e0 compliant?<\/em> Lo scorso 16 luglio La Corte di giustizia dell\u2019Unione Europea ha invalidato il Privacy Shield, il meccanismo di autocertificazione per le societ\u00e0 negli USA che intendevano ricevere dati personali dall\u2019Unione Europea. Questo \u00e8 avvenuto per mezzo della sentenza Schrems II, emanata in seguito ad una denuncia presentata contro Facebook dall\u2019omonimo attivista, Maximillian Schrems.
La Corte sostiene che la normativa degli USA<\/strong> in tema di accesso e di utilizzo dei dati che vengono trasferiti dall\u2019UE non soddisfi i principi base del GDPR<\/strong>, in quanto le autorit\u00e0 di controllo americane possono accedere ai dati per motivi di sorveglianza.
D\u2019altronde, l\u2019art. 46 del GDPR consentiva il trasferimento dei dati verso un Paese terzo solo se il titolare o il responsabile avesse fornito adeguate garanzie di protezione e tutela.<\/p>\n\n\n\n

Una valida misura di garanzia poteva essere quella delle SCC, ossia le \u201cClausole Contrattuali Standard\u201d, a protezione dei dati di cittadini UE nel momento in cui vengono trasferiti ad un Paese terzo. Tuttavia, la sentenza Schrems II si \u00e8 pronunciata anche a questo proposito, vincolando l\u2019utilizzo delle SCC unitamente a meccanismi di protezione dei dati che siano compatibili con quanto riportato all\u2019interno del GDPR.
Ne deduciamo che la sentenza non abbia impattato solamente verso grandi nomi come Facebook, Apple o Microsoft, ma anche contro le imprese IT e chi si avvale di fornitori IT provenienti dagli USA.
D\u2019ora in avanti, quindi, non sar\u00e0 pi\u00f9 possibile esportare i dati in USA sulla base di questa \u201cdecisione di adeguatezza\u201d.
Cosa cambia effettivamente, dopo la sentenza Schrems II, per i titolari e i responsabili del trattamento? Qual \u00e8 l\u2019impatto sulla compliance privacy<\/a> gi\u00e0 effettuata? Chi, fino al 16 luglio era compliant essendosi adeguato in base alla normativa, deve modificare qualcosa oggi?
Ora spiegheremo come colmare il gap che si \u00e8 creato nel trasferimento dei dati in USA dopo la sentenza Schrems II.<\/p>\n\n\n\n

Ecco come devono comportarsi titolari e responsabili del trattamento dei dati.
Per adeguarsi sono necessarie tre azioni specifiche.<\/p>\n\n\n\n