Categorie: Insights, Prassi

Tag: Privacy Shield


27 Lug 2020

Privacy Shield: la Corte di Giustizia Europea invalida l’Accordo UE – USA

Con la sentenza del 16 luglio 2020, “Data Protection Commisioner v Facebook Ireland Limited, Maximilian Schrems C-311/18”, la Corte di Giustizia dell’Unione Europea (“CGUE” o “Corte”) ha dichiarato invalida la Decisione n. 2016/1250 e, con essa, l’accordo siglato tra l’Unione Europea e gli Stati Uniti d’America avente l’obiettivo di tutelare e disciplinare il trasferimento dei dati personali dei cittadini europei verso soggetti destinatari allocati nel territorio americano (“Privacy Shield”).

La decisione della corte di giustizia

La Corte ha constatato che i potenziali trattamenti effettuati dalle autorità pubbliche americane su tutti i dati personali trasferiti nel territorio degli Stati Uniti prevalgono sulle limitazioni previste dai diritti fondamentali dei cittadini europei (“interessati”) che la normativa europea si prefigge di tutelare.

Ad oggi, la normativa europea di riferimento in materia di protezione dei dati personali è contenuta nel Regolamento (UE) 2016/679 (il “Regolamento”) secondo cui i dati personali degli interessati, se trasferiti verso Paesi non appartenenti all’Unione, debbono essere tutelati da garanzie equivalenti a quelle previste dal diritto europeo.

La CGUE, nell’invalidare il Privacy Shield, riafferma la legittimità dello strumento rappresentato dalle c.d. Clausole Contrattuali Standard (“SCC – Standard Contractual Clauses”) adottate dalla Commissione Europea ma indica alle autorità di controllo dei singoli Paesi dell’Unione, il compito di verificare e, ove necessario, sospendere nonché vietare il trasferimento dei dati personali presso Paesi Terzi il cui ordinamento non rispetta i requisiti contenuti in tali Clausole.

Gli strumenti previsti dal Regolamento

La decisione in esame non pone un divieto assoluto di trasferimento dei dati personali verso gli Stati Uniti ma impone ai soggetti e alle organizzazioni che effettuano tale tipologia di trasferimento l’individuazione di strumenti alternativi che legittimino lo scambio e garantiscano adeguati livelli di protezione per gli interessati.

Sul punto, si precisa che il Regolamento prevede diversi strumenti e meccanismi da utilizzare al fine di porre in essere un corretto trasferimento di dati al di fuori dell’Unione Europea. In particolare:

  • la presenza di una decisione di adeguatezza ai requisiti europei in materia di protezione dei dati personali;
  • l’adozione di Clausole Contrattuali Standard;
  • l’adozione di Norme Vincolanti d’Impresa (“BCR _ Binding Corporate Rules”) da parte dei grandi gruppi internazionali a seguito della negoziazione con le Autorità di controllo dei paesi coinvolti;
  • l’adesione a specifici Codici di condotta o, comunque, a meccanismi di certificazione i quali devono essere contestualmente applicati dal soggetto al quale i dati vengono trasferiti;
  • il consenso dell’interessato che deve essere adeguatamente informato così come previsto dal Regolamento stesso.

◊◊◊◊

Alla luce di quanto di quanto espresso dalla Corte di Giustizia con la sentenza in esame, le organizzazioni che effettuano i trasferimenti di dati personali degli interessati verso gli Stati Uniti d’America, sono tenute a rivedere i meccanismi sui quali hanno fondato tali trasferimenti andando ad individuare degli strumenti alternativi nelle ipotesi in cui, sino ad oggi, è stato utilizzato il Privacy Shield.

Come specificato dalla Corte, nel caso in cui si scelga lo strumento delle Clausole Contrattuali Standard, sarà necessario individuare i rischi, anche potenziali, analizzando non solo l’organizzazione del soggetto ricevente tali dati ma anche fattori quali il contesto, il settore ovvero l’ordinamento del Paese Terzo in cui quest’ultimo opera.

Iscriviti alla newsletter

Contattaci

Hai bisogno di informazioni? Scrivici e il nostro team di esperti ti risponderà il prima possibile.

Compila il form

Altre news e insights

8 Lug 2026

Trasparenza salariale: a un mese dall’entrata in vigore, sono due gli orientamenti sul mercato (The Platform, 8 luglio 2026 – Vittorio De Luca, Claudia Cerbone e Martina De Angeli)

Dal 7 giugno si devono applicare le regole Ue dirette a rafforzare il principio della parità di retribuzione tra uomini e donne per uno stesso lavoro o per…

2 Lug 2026

Lo sai che… dal 7 giugno 2026 è pienamente in vigore il Decreto Legislativo n. 96/2026?

Dal 7 giugno 2026 è pienamente in vigore il Decreto Legislativo n. 96/2026, che introduce anche nell’ordinamento italiano un sistema strutturato di trasparenza retributiva con l’obiettivo di rafforzare…

2 Lug 2026

Omessa contestazione dell’addebito disciplinare: la Cassazione esclude la nullità del licenziamento e la reintegra nelle piccole imprese

Massima Con la recentissima sentenza n. 17283 del 1° giugno 2026, la Corte di Cassazione ha affrontato il tema della omessa contestazione disciplinare e dei suoi effetti sul…

2 Lug 2026

AI e rapporto di lavoro: prime indicazioni dei decreti attuativi e riflessi in ambito data protection

Con l’approvazione in via preliminare, da parte del Consiglio dei Ministri il 10 giugno 2026, dei primi schemi di decreti legislativi attuativi della legge delega in materia di…

1 Lug 2026

Sostenibilità, responsabilità e futuro: il nostro impegno cresce nel tempo

In occasione del nostro 50° anniversario, abbiamo scelto di guardare al futuro con la stessa attenzione con cui custodiamo le nostre radici. Radici che affondano in Puglia, terra…

25 Giu 2026

Parità salariale e trasparenza retributiva: cosa cambierà in Italia (People are People, 25 giugno 2026 – Claudia Cerbone e Martina De Angeli)

Con il D.Lgs. 7 maggio 2026, n. 96, entrato in vigore il 7 giugno 2026, l'Italia ha recepito la Direttiva (UE) 2023/970 sulla trasparenza retributiva, collocandosi tra i…