“European Data Protection Board”: pubblicate le nuove Linee Guida e creata la task force per risolvere il nodo “Privacy Shield”

Nella 37esima Riunione dello Edpb a Bruxelles sono state adottate 2 importanti “Linee-guida”: la prima (n. 7/2020) chiarisce i concetti di Titolare e Responsabile di trattamento, mentre la seconda (n. 8/2020) reca delle interessanti indicazioni per coloro che fanno parte o gestiscono social media. Ma la vera novità è la task force sul “Privacy Shield” (l’Accordo internazionale tra UE e Usa sul trasferimento di dati personali, oggetto di un’intricata vicenda giudiziaria, iniziata di fronte al Garante Privacy irlandese e proseguita con le 2 storiche Sentenze della Corte di Giustizia UE, Schrems I e Schrems II). Ma andiamo con ordine.

Le “Linee-guida n. 7/2020” (“on the concepts of controller and processor in the GDPR”), aperte alla consultazione pubblica, mirano a chiarificare i concetti di “Contitolare di trattamento” (art. 26 del Gdpr) e gli obblighi del “Responsabile di trattamento” (art. 28 del Gdpr). Le nuove “Linee-guida” si articolano in 2 Sezioni principali: una prima, in cui sono illustrati i singoli concetti e ruoli, e una seconda, che contiene orientamenti dettagliati sulle principali conseguenze (positive e negative) per i soggetti suddetti. Per espressa indicazione dello Edpb, le “Linee-guida” intendono facilitare la compliance e l’accountability delle parti gestorie dei dati personali. Inoltre, la figura “solidale” della contitolarità (art. 26 del Gdpr) presuppone una situazione di “reciprocità” e di “equivalenza sostanziale” tra le garanzie offerte dall’uno e dall’altro Titolare di trattamento (anche in territorio extra-UE). Tale Principio, ben espresso nell’art. 28 del Gdpr, trova 2 precipitati, nelle“Linee-guida” n. 8/2020 e nelle Sentenze Schrems della CGUE.

Le “Linee-guida” n. 8/2020 (“on the targeting of social media users”) mirano a fornire orientamenti pratici alle parti interessate e presentano esempi di situazioni diverse, così da consentire di individuare rapidamente lo “scenario” più vicino all’attività di targeting che i singoli soggetti intendono mettere in pratica. L’obiettivo principale è chiarire quali siano i ruoli e le responsabilità del fornitore di social media e della persona interessata. A tal proposito, vengono delineati, tra l’altro, i potenziali rischi per le libertà individuali, i principali attori e i rispettivi ruoli, l’applicazione dei requisiti fondamentali in materia di protezione dei dati, quali la liceità e la trasparenza dei trattamenti e la valutazione d’impatto sulla protezione dei dati, nonché gli elementi chiave degli accordi che disciplinano i rapporti tra i fornitori di social media e gli interessati. Infine, anche queste “Linee-guida” saranno sottoposte ad una consultazione pubblica.

Veniamo ora alla vera novità degli ultimi mesi. Una novità “calda”, non tanto per l’estate che l’ha ospitata, quanto per la capacità dirompente che sta mostrando. Tutto comincia con un signore austriaco, Maximillian Schrems, iscritto dal 2008 a Facebook, che nel 2010 denuncia il Social Network (presso il Garante Privacy irlandese) per aver trasferito in modo illegittimo i suoi dati personali negli Stati Uniti, assumendo che la normativa americana non ne assicurasse un’adeguata protezione. Nel 2015, nonostante l’opinione contraria della Commissione Europea, la Corte di Giustizia dà ragione al Sig. Schrems, che riparte alla carica nel 2016, con una nuova denuncia e una nuova decisione contraria della Commissione, basata sulla conformità al Privacy Shield. In sostanza, la Commissione Europea ritiene che il trasferimento dall’Ue agli Usa dei dati personali, raccolti e diffusi per mezzo del Social Network, sia legittimo grazie al suddetto Accordo internazionale, poiché assicurerebbe un’equivalenza sostanziale tra le garanzie della normativa Privacy europea e americana.

Ma, colpo di scena, la Corte di Giustizia, con la Sentenza 16 luglio 2020, dichiara invalida la decisione della Commissione, affermando a chiare lettere che “…le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autorità statunitensi, di siffatti dati trasferiti dall’Unione verso tale Paese terzo…non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dal Principio di proporzionalità, giacché i programmi di sorveglianza fondati sulla suddetta normativa non si limitano a quanto strettamente necessario”.

Apriti cielo, spalancati terra. Il Privacy Shield viene svuotato di efficacia; ogni trasferimento basato su di esso e sulla normativa americana di attuazione diventa improvvisamente illegale. Ed ecco spiegata l’ingente mole di ricorsi degli ultimi 2 mesi (ben 101!) presentati ai Garanti Privacy dei Paesi parte dello Spazio Economico Europeo, per l’analisi dei quali lo European Data Protection Board ha creato una task force. Ma la faccenda è ben lungi dall’esser chiusa.

Di Ermanno Salerno

La nostra attenzione alla verifica dei contenuti

Gli articoli e i contenuti prodotti dalla nostra redazione sono tutti verificati da esperti del settore. Seguendo una procedura di qualità certificata, i giornalisti della redazione operano a stretto contatto con gli esperti per verificare la correttezza delle informazioni pubblicate. L'obiettivo è quello di fornire a tutti i lettori informazioni verificate e attendibili.

Seguici sui social:

Privacy

Siamo al fianco di Enti pubblici, privati e professionisti nella gestione della privacy.