Caduto Privacy Shield: quali sono le conseguenze per le aziende?

Il Privacy Shield è caduto. Questa norma, pensata per salvaguardare la privacy dei cittadini europei, permetteva alle aziende di poter spostare anche al di là dell'Atlantico i dati degli utenti, sotto precise condizioni. Come spiega il Garante della Privacy, lo scudo per la privacy "è un meccanismo di autocertificazione per le società stabilite negli USA che intendano ricevere dati personali dall'Unione europea. In particolare, le società si impegnano a rispettare i principi in esso contenuti e a fornire agli interessati (i.e. ovvero tutti i soggetti i cui dati personali siano stati trasferiti dall’Unione europea) adeguati strumenti di tutela, pena l’eliminazione dalla lista delle società certificate da parte del Dipartimento del Commercio statunitense e possibili sanzioni da parte della Federal Trade Commission".

La Corte Europea ha invalidato questo meccanismo il 16 luglio e questo comporterà alcuni problemi per le circa 5.000 aziende che vi avevano fatto ricorso.

Smantellato lo scudo per la privacy: le conseguenze per le imprese

L'abolizione del Privacy Shield sulla carta dovrebbe garantire una maggiore sicurezza ai cittadini europei, dal momento che rafforza ulteriormente le garanzie sul trattamento dei dati personali, ben più stringenti nel Vecchio Continente: per confronto, basti pensare che negli USA non sono presenti norme come il nostro GDPR a tutela dei diritti dei cittadini. Nella pratica, però, le conseguenze di questa decisione creeranno non pochi problemi sia alle aiende statunitensi sia a quelle europee: le realtà americane non potranno più trattare dati personali degli utenti. Questo significa che per essere a norma e per continuare a trattare i dati di chi vive in Europa dovranno spostare sia la sede sia server. Fra le aziende che si sono appoggiate allo scudo per la privacy possiamo citare Facebook, Google, MailChimp. "Che si adeguino e spostino i server", dirà qualcuno, non a torto. Ma non bisogna dimenticare che sono anche molte le imprese europee, con sede e server in Europa, che si appoggiano a queste realtà: come deve comportarsi, per esempio, un'azienda italiana che usa MailChimp per la gestione delle newsletter?

Iubenda, un servizio che adegua le policy dei siti alle differenti normative regionali, ha provato a riassumere la questione, sottolineando che non ci sono indicazioni chiare in merito: 

• Normalmente, per trasferire al di fuori dell’UE i dati personali degli utenti dell’UE è necessario soddisfare le condizioni indicate negli articoli 44-50 del GDPR (se ad esempio salvi dati personali di cittadini dell’UE su un server negli Stati Uniti, dovrai basare questo trasferimento su uno dei meccanismi di conformità esistenti).
• Prima di questa sentenza, le aziende statunitensi potevano aderire al Privacy Shield ed essere certificate come una destinazione sicura per i dati personali dell’UE. Una volta ricevuti i dati, tali aziende non avevano bisogno di alcuna autorizzazione specifica per questa attività.
• La Corte di Giustizia europea ha ora dichiarato invalido questo meccanismo. Questo significa che i trasferimenti che si basavano sul Privacy Shield devono rivolgersi altrove per essere conformi.