Istruzioni ed indicazioni operative per i titolari del trattamento, elaborate dall’Associazione NOYB alla luce della decisione della Corte Europea.
La Corte di Giustizia dell’Unione Europea, con la decisione emanata a conclusione della causa C-311/18, si è espressa su un rinvio pregiudiziale sollevato dall’Autorità Garante irlandese in un procedimento che vede coinvolti Facebook Ireland Ltd. ed il Sig. Maximillian Schrems, a seguito di specifico reclamo proposto da quest’ultimo riguardo al trasferimento di dati personali da parte di Facebook Ireland Ltd. a Facebook Inc. negli Stati Uniti.
La Corte di Giustizia, in sostanza, ha condiviso l’interpretazione di Schrems, secondo cui le società UE devono effettuare una valutazione della disciplina, anche in materia di protezione dei dati personali, applicabile nel Paese terzo “ricevente”: ciò significa che Facebook e altre aziende soggette ai programmi di sorveglianza USA non possono più utilizzare le SCC (Standard Contractual Clauses) per giustificare i trasferimenti dei dati.
Tale sentenza non influisce, tuttavia, sui trasferimenti dei dati verso USA se assolutamente necessari ai sensi dell’articolo 49 del GDPR (consenso dell’interessato e altre limitate ipotesi).
La decisione della CGUE che commentiamo è l’ultimo successo di Max Schrems, avvocato austriaco e sostenitore della privacy diventato noto, dal 2011, per le campagne contro Facebook per violazione della privacy, comprese le violazioni delle leggi sulla privacy europee e il trasferimento di dati personali alla National Security Agency (NSA) degli Stati Uniti nell’ambito del programma PRISM dell’NSA.
A margine ed a sostegno delle sue iniziative giudiziarie, Max Schrems – ausiliato da un team costituito da esperti del settore della privacy, della tecnologia e del diritto dei consumatori – ha fondato e presiede l’Associazione NOYB, un’ONG che persegue finalità di protezione dei dati laddove i singoli utenti non riescono a tutelare – anche in considerazione dei profili economici – i propri diritti in materia di protezione dei dati.
Subito dopo la sentenza emessa dalla Corte di Giustizia dell’Unione Europea (C-311/18), che ha invalidato il “Privacy Shield” (c.d. “Schrems II”), l’Associazione NOYB confermando le dichiarazioni di Max Schrems subito dopo la sentenza ed in linea con la propria mission ha deciso di offrire ai titolari del trattamento alcune delle risposte ai maggiori interrogativi, unitamente a dei modelli di questionari da sottoporre all’attenzione dei partner/fornitori europei, e, inoltre, si è impegnata a fornire un costante aggiornamento della pagina contenente le FAQ ed i modelli di questionario (potete trovare le FAQ e i modelli messi a disposizione da NOYB a questo link: https://noyb.eu/en/next-steps-eu-companies-faqs).
A oggi sono stati rese disponibili – nelle versioni pdf, word, odt – le seguenti due tipologie di modelli di questionario: “Modello di richiesta agli importatori di dati statunitensi se si utilizzano ancora le SCC” e “Modello di richiesta ai fornitori/providers che elaborano i dati nell’UE/SEE ma che hanno legami con gli USA”. Il titolare del trattamento, ovviamente, sarà tenuto ad effettuare un’analisi “caso per caso”.
Infine, nelle FAQ, di estremo interesse per la loro sintesi ed allo stesso tempo esaustività, vi è un elenco esemplificativo di alcuni fornitori/providers statunitensi che rientrano nelle disposizioni di sorveglianza, il link alle linee guida n. 2/2018 del WP29 sulle deroghe di cui all’articolo 49 GDPR, nonché il link al documento di lavoro n. 237 del WP29, in quanto pare sia stato un documento utilizzato – almeno per quanto riguarda due punti dello stesso – dalla CGUE per invalidare il “Privacy Shield”.