La CGUE dichiara non valido il Privacy Shield - cosa significa la sentenza per gli operatori del sito web

6 Min.
Privacy Shield CGUE
Ultimo aggiornamento il 05/08/2020

Il 16.07.2020 la Corte di Giustizia dell'Unione Europea (CGUE) ha dichiarato il Privacy Shield invalido. Questa sentenza riguarda, tra l'altro, tutti gli operatori di siti web che utilizzano i servizi di società statunitensi. In questo articolo ti spiegherò cosa significa la sentenza per te come operatore di un sito web o agenzia e cosa dovrai fare ora.

Situazione di partenza legale

Ogni elaborazione dei dati richiede una base giuridica

Qualsiasi elaborazione dei dati personali richiede una base giuridica (articolo 6, paragrafo 1 RGPD). Le basi giuridiche più importanti in relazione ai siti web sono:

  • Il consenso dell'interessato (ad esempio, per impostare i cookie);
  • l'adempimento di un obbligo contrattuale (ad esempio nel caso di negozi online);
  • l'interesse legittimo della persona responsabile o del gestore del sito web (ad esempio nel rispondere alle richieste di informazioni via mail).

Il consenso è tradizionalmente ottenuto sui siti web tramite una checkbox. L'esempio migliore è rappresentato dai cookie banner, attraverso i quali il visitatore del sito web acconsente all'impostazione di determinati cookie (ad esempio i cookie di marketing o i tracking cookie). Se vuoi saperne di più, troverai maggiori informazioni nel mio articolo "Cookie-Banner -ma in maniera corretta! Dovresti considerare queste 7 cose".

Tuttavia, le suddette basi giuridiche riguardano solo l'effettiva elaborazione dei dati in sé.

La CGUE dichiara non valido il Privacy Shield - cosa significa la sentenza per gli operatori del sito web

Ulteriore base giuridica necessaria per il trasferimento di dati verso paesi extraeuropei 

Se il trattamento dei dati non avviene nell'UE, ma in un paese non europeo - cioè in un cosiddetto paese terzo - è necessaria un'ulteriore base giuridica.

Queste basi giuridiche per il trasferimento di dati personali verso paesi terzi si trovano negli art. 44 e segg. RGPD

Di particolare rilevanza per gli operatori di siti web sono le cosiddette decisioni di adeguatezza della Commissione Europea (Art. 45 RGPD).

Con tale decisione, la Commissione decide che un paese terzo fornisce un livello adeguato di privacy e che i dati personali possono essere trasferiti al paese terzo.

In passato sono state prese decisioni di adeguatezza con un gran numero di paesi, come la Svizzera, l'Australia e la Nuova Zelanda. 

Il Privacy Shield

Il Privacy Shield è stata una decisione di adeguatezza della Commissione europea per il trasferimenti di dati negli Stati Uniti. È stato adottato nel luglio 2016 e solo pochi mesi dopo l' Abrogazione dell'accordo Safe Harbor (il precedente regolamento del Privacy Shield) da parte della CGCE.  

Nell'ambito del Privacy Shield, le aziende statunitensi potevano impegnarsi volontariamente a rispettare un certo livello di privacy nel trattamento dei dati personali provenienti dall'UE. Dopo questa certificazione, potevano trasferire i dati personali dall'UE.

La sentenza Privacy Shield della CGUE

La sentenza della CGUE è stata motivata da una domanda di pronuncia pregiudiziale dell' High Court irlandese alla CGUE, basata su una causa dell'attivista austriaco per la privacy Maximilian Schrems contro Facebook Ireland Ltd.

Con la sentenza del 16 luglio 2020, il CGUE dichiara il Privacy Shield invalido. Ciò significa che, con effetto immediato, tutti i trasferimenti di dati personali dall'UE agli USA, che prima si basavano sulla base Privacy Shield giuridica, sono ora inammissibili.

Sembra drammatico - e difatti lo è.

Le conseguenze della sentenza per gli operatori del sito web

Quasi tutti i siti web possono subire le conseguenze della sentenza. Questo perché, di norma, quasi tutti i siti web hanno integrato almeno un servizio di una società statunitense, che viene fornito non solo dalle filiali europee (come Facebook Ireland Ltd. e Google Ireland Ltd.) ma anche dalla rispettiva società madre americana (come Facebook Inc. e Google LLC).

In molti di questi servizi i dati personali vengono trasferiti negli USA (eventualmente in base alle impostazioni predefinite). Esempi di tali servizi sono:

  • Servizi Google come Google Analytics, Google Maps o Google Fonts (purché non siano integrati localmente);
  • Servizi di newsletter (ad es. Mailchimp);
  • Social media plugin (Facebook, Instagram, YouTube, Twitter ecc.)
  • Servizi di backup cloud;
  • Soluzioni per negozi online.

Se il gestore di un sito web ha redatto correttamente la sua informativa sulla privacy dei dati, per ogni servizio in cui i dati potrebbero essere trasferiti negli USA si dovrebbero trovare le seguenti informazioni:

"La società statunitense XYZ tratta i vostri dati personali anche negli USA e si è presentata all'UE/USAPrivacy Shield . Per ulteriori dettagli Privacy Shield vedi: https://www.privacyshield.gov/EU-US-Framework."

WooCommerce hosting x arancione

Possibili basi giuridiche alternative per la trasmissione dei dati

I trasferimenti di dati verso gli Stati Uniti, che finora si sono basati sul Privacy Shield, sono, con effetto immediato o fino ad una nuova decisione di adeguatezza da parte della Commissione, consentiti solo se possono essere basati su un'altra base giuridica.

In quanto tali, sono presi in considerazione:

Consenso dell'interessato

La base giuridica per i gestori del sito web è soprattutto il consenso espresso dell'interessato (art. 49, comma 1, lettera a RGPD). Tuttavia, ciò è subordinato alla condizione che la persona interessata sia stata informata dei rischi del trasferimento dei dati prima che venga dato il consenso.

Trasmissione per l'esecuzione del contratto

È inoltre ipotizzabile che il trasferimento dei dati personali negli USA sia necessario per l'adempimento di un contratto tra la persona interessata (il visitatore del sito web) e il responsabile (il gestore del sito web).

Tuttavia, non è sufficiente che il gestore del sito web voglia utilizzare il servizio di una società statunitense (ad esempio, un negozio online di plugin americano) per eseguire il contratto. È piuttosto necessario che il contratto stesso abbia una referenza statunitense, ad esempio che venga ordinato presso un negozio web statunitense.

Clausole standard di privacy della Commissione Europea

Non è molto probabile che il trasferimento di dati personali verso gli Stati Uniti possa basarsi sulle clausole standard di privacy adottate dalla Commissione europea (articolo 46, paragrafo 2, lettera c RGPD).

Le clausole standard di privacy sono contratti tipo che possono essere conclusi tra un esportatore di dati stabilito nell'UE e un importatore di dati stabilito in un paese terzo. Con queste clausole, l'importatore di dati non europeo garantisce all'esportatore di dati che i dati personali trasferiti godranno da lui di un livello di protezione comparabile al RGPD.

Nella sua sentenza sul Privacy Shield, la CGUE ha stabilito che le clausole standard di protezione dei dati non sono di per sé discutibili in termini di contenuto. Tuttavia, deve essere possibile farle rispettare efficacemente anche nel paese terzo.

ebook: Misurate le prestazioni del vostro sito come un professionista

Se ciò sia effettivamente possibile nel trasferimento di dati verso gli USA appare molto dubbio. La CGUE ha dichiarato il Privacy Shield invalido, tra le altre ragioni, perché i cittadini dell'UE non avrebbero una protezione legale adeguata contro i programmi di monitoraggio dei dati delle autorità statunitensi. E questa situazione sarebbe praticamente identica nel caso delle clausole standard di privacy.

Per questo motivo, nella sua sentenza, la CGUE ha anche stabilito che le autorità di controllo della privacy sono obbligate a sospendere o vietare un trasferimento di dati personali verso un paese terzo sulla base di clausole standard di privacy se ritengono che le clausole standard di privacy non siano o non possano essere rispettate nel paese terzo. 

È quindi probabile che i trasferimenti di dati verso gli Stati Uniti sulla base delle clausole standard di privacy siano contestati e dichiarati inammissibili dalle autorità della privacy.

Cosa devi fare ora come operatore di un sito web

Poiché tutte le trasmissioni di dati personali agli USA basate sul Privacy Shield sono ora vietate, gli operatori del sito web dovrebbero attuare le seguenti misure:

#1 Scegliere server europei

Alcune società statunitensi offrono di fornire i loro servizi tramite server europei. In questo caso, gli operatori del sito web dovrebbero scegliere il server europeo.

#2 Ottenere il consenso dell'interessato

Se non è possibile scegliere un server europeo, è necessario ottenere il consenso esplicito dell'interessato per il trasferimento dei suoi dati personali negli Stati Uniti. Questo consenso potrebbe essere dato per mezzo di una checkbox, proprio come quando si impostano i cookie.

Poiché ogni sito web che imposta i cookie dovrebbe avere un cookie banner con le relative note e checkbox per l'impostazione dei singoli cookie, questo potrebbe essere integrato da ulteriori note (sul rischio) e checkbox relative ai trasferimenti di dati previsti verso gli USA. Come in ogni checkbox, va naturalmente notato che è il visitatore del sito web stesso a dover cliccare sulla checkbox (opt-in), poiché per la Corte federale di giustizia le checkbox attivate preimpostate (opt-out) sono vietate.

L'unico "svantaggio" di questa soluzione di consenso è che effettivamente il servizio corrispondente sul sito web non può essere attivo se non viene dato il consenso.

Cosa significa, viene spiegato qui brevemente sull'esempio di Google Fonts:

Talvolta i font di Google non sono incorporati localmente nel sito web, ma vengono caricati dai server di Google solo quando il browser web accede alla pagina. Se ciò avviene con un server americano di Google, i dati del browser web, cioè i dati personali del visitatore del sito web, vengono trasmessi a questo server di Google negli USA.

RAIDBOXES  FREE-DEV programma

È già dubbio che il ricarico dei font di Google possa essere basato su un interesse legittimo del gestore del sito web (personalmente ho grandi dubbi), poiché i font di Google possono essere integrati anche a livello locale. Ma anche se si dovesse presupporre questo legittimo interesse, sarebbe necessaria un'ulteriore base giuridica per la trasmissione dei dati personali del browser web ai server americani di Google. Questa base giuridica aggiuntiva era in precedenza il Privacy Shield. Poiché ciò è ormai inefficace, il ricaricamento dei font di Google dai server americani di Google richiederebbe ora il consenso del visitatore del sito web. Se questo consenso non venisse concesso, i font di Google non potrebbero essere ricaricati.

Ciò significa che d'ora in poi i font di Google dovrebbero essere integrati localmente sul sito web al più tardi.

#3 Regolare l'informativa sulla privacy

È importante adattare la politica sulla privacy alla nuova situazione giuridica.

Poiché l'informativa sulla privacy deve riflettere in modo completo e preciso il trattamento dei dati personali che avviene su un sito web, non è sufficiente cancellare semplicemente i precedenti riferimenti al Privacy Shield - almeno se i servizi in questione continuano ad essere utilizzati.

Infatti, se il trasferimento dei dati si basa ora sul consenso del visitatore del sito web, questo deve essere menzionato di conseguenza. Inoltre, in caso di consenso, dovrebbero essere spiegati anche i rischi associati al trasferimento dei dati verso gli USA, vale a dire che i dati personali trasferiti negli USA saranno valutati dalle autorità statunitensi nell'ambito dei programmi americani di monitoraggio dei dati e che i cittadini dell'UE non avranno quindi accesso ad adeguate opzioni di protezione giuridica.

Prospettiva

Dopo che la CGUE ha dichiarato l'accordo Safe Harbor invalido, ci sono voluti solo pochi mesi perché la Commissione europea negoziasse il Privacy Shield con gli Stati Uniti.

Data l'importanza dello scambio transatlantico di dati, che non va sottovalutata, non passerà certo molto tempo prima che si trovi un nuovo regolamento e la Commissione europea adotti una nuova decisione di adeguatezza per il trasferimento di dati personali verso gli Stati Uniti.

E se si tiene conto delle preoccupazioni della CGUE e si crea una maggiore protezione dei dati per i cittadini dell'Unione Europea negli Stati Uniti, questo sarà un bene anche per gli operatori dei siti web.

Mario Steinberg è avvocato specializzato in diritto amministrativo presso lo studio legale commerciale LIEB.avvocati. Il suo lavoro si concentra principalmente sulla legge sulla protezione dei dati, sulla sicurezza informatica e sul diritto in materia di informatica.

Articoli correlati

Commenti su questo articolo

Scrivi un commento

Il tuo indirizzo mail non sarà pubblicato. I campi obbligatori sono contrassegnati con * marcato.