La CGUE dichiara non valido il Privacy Shield - cosa significa questa sentenza per gli operatori dei siti web

Mario Steinberg Ultimo aggiornamento 21.10.2020
6 Min.
Privacy Shield CGUE
Ultimo aggiornamento 21.10.2020

Il 16.07.2020 la Corte di Giustizia Europea (CGUE) ha dichiarato invalido ilPrivacy Shield . Questa sentenza colpisce, tra gli altri, tutti i gestori di siti web che utilizzano i servizi di società statunitensi. In questo articolo spiego cosa significa la sentenza per voi come operatore di siti web o agenzia e cosa dovete fare ora.

Situazione di partenza legale

Ogni elaborazione dei dati richiede una base giuridica

Qualsiasi elaborazione dei dati personali richiede una base giuridica (articolo 6, paragrafo 1 RGPD). Le basi giuridiche più importanti in relazione ai siti web sono:

  • Il consenso dell'interessato (ad esempio, per impostare i cookie);
  • l'adempimento di un obbligo contrattuale (ad esempio nel caso di negozi online);
  • l'interesse legittimo della persona responsabile o del gestore del sito web (ad esempio nel rispondere alle richieste di informazioni via mail).

Il consenso è tradizionalmente ottenuto dai siti web per mezzo di una casella di controllo. Il miglior esempio sono i banner di Cookie , attraverso i quali il visitatore del sito web acconsente all'impostazione di certi cookie (per esempio marketing o trackingcookie). Se volete saperne di più, troverete maggiori informazioni nel mio articolo "Cookie-Banner - ma correttamente! Queste 7 cose a cui dovresti prestare attenzione".

Tuttavia, le suddette basi giuridiche riguardano solo l'effettiva elaborazione dei dati in sé.

Ulteriore base giuridica necessaria per il trasferimento di dati verso paesi extraeuropei 

Se il trattamento dei dati non avviene nell'UE, ma in un paese non europeo - cioè in un cosiddetto paese terzo - è necessaria un'ulteriore base giuridica.

Queste basi giuridiche per il trasferimento di dati personali verso paesi terzi si trovano negli art. 44 e segg. RGPD

Di particolare rilevanza per gli operatori di siti web sono le cosiddette decisioni di adeguatezza della Commissione Europea (Art. 45 RGPD).

Con tale decisione, la Commissione decide che un paese terzo fornisce un livello adeguato di privacy e che i dati personali possono essere trasferiti al paese terzo.

In passato sono state prese decisioni di adeguatezza con un gran numero di paesi, come la Svizzera, l'Australia e la Nuova Zelanda. 

Il Privacy Shield

Il Privacy Shield era una decisione di adeguatezza della Commissione europea per i trasferimenti di dati verso gli Stati Uniti. È stata presa nel luglio 2016 e solo pochi mesi dopo l'abrogazione dell'accordo Safe Harbor (il regolamento predecessore del Privacy Shield) dal CGUE .  

Nell'ambito del Privacy Shield, le aziende statunitensi potevano impegnarsi volontariamente a rispettare un certo livello di privacy nel trattamento dei dati personali provenienti dall'UE. Dopo questa certificazione, potevano trasferire i dati personali dall'UE.

La sentenza Privacy Shield della CGUE

La sentenza della CGUE è stata motivata da una domanda di pronuncia pregiudiziale dell' High Court irlandese alla CGUE, basata su una causa dell'attivista austriaco per la privacy Maximilian Schrems contro Facebook Ireland Ltd.

Con la sua sentenza del 16 luglio 2020, il CGUE hadichiarato invalido il Privacy Shield . Di conseguenza, tutti i trasferimenti di dati personali dall'UE agli USA basati su Privacy Shield come base giuridica sono ora inammissibili.

Sembra drammatico - e difatti lo è.

Le conseguenze della sentenza per gli operatori del sito web

Quasi tutti i siti web possono subire le conseguenze della sentenza. Questo perché, di norma, quasi tutti i siti web hanno integrato almeno un servizio di una società statunitense, che viene fornito non solo dalle filiali europee (come Facebook Ireland Ltd. e Google Ireland Ltd.) ma anche dalla rispettiva società madre americana (come Facebook Inc. e Google LLC).

In molti di questi servizi i dati personali vengono trasferiti negli USA (eventualmente in base alle impostazioni predefinite). Esempi di tali servizi sono:

  • Servizi Google come Google Analytics, Google Maps o Google Fonts (purché non siano integrati localmente);
  • Servizi di newsletter (ad es. Mailchimp);
  • Social media plugin (Facebook, Instagram, YouTube, Twitter ecc.)
  • Servizi di backup cloud;
  • Soluzioni per negozi online.

Se il gestore di un sito web ha redatto correttamente la sua informativa sulla privacy dei dati, per ogni servizio in cui i dati potrebbero essere trasferiti negli USA si dovrebbero trovare le seguenti informazioni:

"La società americana XYZ elabora anche i vostri dati personali negli Stati Uniti e si è sottoposta all'UE/USA Privacy Shield . Per maggiori dettagli su Privacy Shield vedere: https://www.privacyshield.gov/EU-US-Framework."

Possibili basi legali alternative per i trasferimenti di dati

I trasferimenti di dati verso gli Stati Uniti, che finora si sono basati sul Privacy Shield, sono, con effetto immediato o fino ad una nuova decisione di adeguatezza da parte della Commissione, consentiti solo se possono essere basati su un'altra base giuridica.

In quanto tali, sono presi in considerazione:

Consenso dell'interessato

La base giuridica per i gestori del sito web è soprattutto il consenso espresso dell'interessato (art. 49, comma 1, lettera a RGPD). Tuttavia, ciò è subordinato alla condizione che la persona interessata sia stata informata dei rischi del trasferimento dei dati prima che venga dato il consenso.

Trasmissione per l'esecuzione del contratto

È inoltre ipotizzabile che il trasferimento dei dati personali negli USA sia necessario per l'adempimento di un contratto tra la persona interessata (il visitatore del sito web) e il responsabile (il gestore del sito web).

Tuttavia, non è sufficiente che il gestore del sito web voglia utilizzare il servizio di una società statunitense (ad esempio, un negozio online di plugin americano) per eseguire il contratto. È piuttosto necessario che il contratto stesso abbia una referenza statunitense, ad esempio che venga ordinato presso un negozio web statunitense.

Clausole standard di privacy della Commissione Europea

Non è molto probabile che il trasferimento di dati personali verso gli Stati Uniti possa basarsi sulle clausole standard di privacy adottate dalla Commissione europea (articolo 46, paragrafo 2, lettera c RGPD).

Le clausole standard di privacy sono contratti tipo che possono essere conclusi tra un esportatore di dati stabilito nell'UE e un importatore di dati stabilito in un paese terzo. Con queste clausole, l'importatore di dati non europeo garantisce all'esportatore di dati che i dati personali trasferiti godranno da lui di un livello di protezione comparabile al RGPD.

Nella sua sentenza sul Privacy Shield, la CGUE ha stabilito che le clausole standard di protezione dei dati non sono di per sé discutibili in termini di contenuto. Tuttavia, deve essere possibile farle rispettare efficacemente anche nel paese terzo.

Se ciò sia effettivamente possibile nel trasferimento di dati verso gli USA appare molto dubbio. La CGUE ha dichiarato il Privacy Shield invalido, tra le altre ragioni, perché i cittadini dell'UE non avrebbero una protezione legale adeguata contro i programmi di monitoraggio dei dati delle autorità statunitensi. E questa situazione sarebbe praticamente identica nel caso delle clausole standard di privacy.

Per questo motivo, nella sua sentenza, la CGUE ha anche stabilito che le autorità di controllo della privacy sono obbligate a sospendere o vietare un trasferimento di dati personali verso un paese terzo sulla base di clausole standard di privacy se ritengono che le clausole standard di privacy non siano o non possano essere rispettate nel paese terzo. 

È quindi probabile che i trasferimenti di dati verso gli Stati Uniti sulla base delle clausole standard di privacy siano contestati e dichiarati inammissibili dalle autorità della privacy.

Cosa devi fare ora come operatore di un sito web

Poiché tutte le trasmissioni di dati personali agli USA basate sul Privacy Shield sono ora vietate, gli operatori del sito web dovrebbero attuare le seguenti misure:

#1 Scegliere server europei

Alcune società statunitensi offrono di fornire i loro servizi tramite server europei. In questo caso, gli operatori del sito web dovrebbero scegliere il server europeo.

#2 Ottenere il consenso dell'interessato

Se non è possibile scegliere un server europeo, è necessario ottenere il consenso esplicito dell'interessato per il trasferimento dei suoi dati personali negli Stati Uniti. Questo consenso potrebbe essere dato per mezzo di una checkbox, proprio come quando si impostano i cookie.

Poiché ogni sito web che imposta i cookie dovrebbe avere un cookie banner con le relative note e checkbox per l'impostazione dei singoli cookie, questo potrebbe essere integrato da ulteriori note (sul rischio) e checkbox relative ai trasferimenti di dati previsti verso gli USA. Come in ogni checkbox, va naturalmente notato che è il visitatore del sito web stesso a dover cliccare sulla checkbox (opt-in), poiché per la Corte federale di giustizia le checkbox attivate preimpostate (opt-out) sono vietate.

L'unico "svantaggio" di questa soluzione di consenso è che effettivamente il servizio corrispondente sul sito web non può essere attivo se non viene dato il consenso.

Cosa significa, viene spiegato qui brevemente sull'esempio di Google Fonts:

A volte i Google Font non sono integrati localmente sul sito web, ma vengono caricati dal browser web dai server di Google quando la pagina viene richiamata. Se ciò avviene su un server americano di Google, i dati del browser web, cioè i dati personali del visitatore del sito, vengono trasmessi a questo server di Google negli Stati Uniti.

È già discutibile se il ricaricamento di Google Fonts possa essere basato su un interesse legittimo del gestore del sito web (personalmente ho grandi dubbi su questo), dato che i Google Fonts possono anche essere integrati localmente. Ma anche se si assumesse questo interesse legittimo, richiederebbe una base legale supplementare per la trasmissione dei dati personali del browser web ai server americani di Google. Questa base giuridica aggiuntiva era precedentemente il Privacy Shield. Poiché questo non è più valido, il ricaricamento dei font di Google dai server americani di Google richiederebbe ora il consenso del visitatore del sito. Se questo consenso non viene dato, i Google Fonts non possono essere ricaricati.

Questo significa che Google Fonts dovrebbe essere integrato localmente sul sito web al più tardi d'ora in poi.

#3 Personalizza l'informativa sulla privacy.

È importante adattare la politica di privacy alla nuova situazione giuridica.

Poiché l'informativa sulla privacy deve riflettere in modo completo e preciso il trattamento dei dati personali che avviene su un sito web, non è sufficiente cancellare semplicemente i precedenti riferimenti al Privacy Shield - almeno se i servizi in questione continuano ad essere utilizzati.

Infatti, se il trasferimento dei dati si basa ora sul consenso del visitatore del sito web, questo deve essere menzionato di conseguenza. Inoltre, in caso di consenso, dovrebbero essere spiegati anche i rischi associati al trasferimento dei dati verso gli USA, vale a dire che i dati personali trasferiti negli USA saranno valutati dalle autorità statunitensi nell'ambito dei programmi americani di monitoraggio dei dati e che i cittadini dell'UE non avranno quindi accesso ad adeguate opzioni di protezione giuridica.

Prospettiva

Dopo che la CGUE ha dichiarato l'accordo Safe Harbor invalido, ci sono voluti solo pochi mesi perché la Commissione europea negoziasse il Privacy Shield con gli Stati Uniti.

Data l'importanza dello scambio transatlantico di dati, che non va sottovalutata, non passerà certo molto tempo prima che si trovi un nuovo regolamento e la Commissione europea adotti una nuova decisione di adeguatezza per il trasferimento di dati personali verso gli Stati Uniti.

E se quest'ultimo accoglie le preoccupazioni di CGUE e crea più protezione dei dati per i cittadini dell'UE negli Stati Uniti, questo sarà anche una buona cosa per gli operatori dei siti web.

Mario Steinberg è un avvocato e specialista in diritto amministrativo presso lo studio legale commerciale LIEB.Rechtsanwälte. Il suo lavoro si concentra sul diritto della protezione dei dati, sulla sicurezza informatica e sul diritto informatico.

Articoli correlati

Commenti su questo articolo

Scrivi un commento

Il tuo indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati con *.