Sono già passati due anni – era il 25 maggio 2018 – da quando il nuovo Regolamento Europeo 2016/679 sulla Protezione dei Dati Personali è entrato ufficialmente in vigore in tutti i 27 Paesi membri della comunità europea. E proprio in quest’ultimo periodo sono state introdotte due importanti novità che riguardo l’intera sfera della protezione dei dati personali, ma soprattutto i temi del Rinnovo dell’Authority e del tanto discusso Privacy Shield tra UE e USA. Facciamo dunque insieme un breve riepilogo delle principali caratteristiche del GDPR introdotto nel 2018, concentrandoci poi sui due più recenti cambiamenti.
Sommario
Garante Privacy, Agcom e Privacy Shield UE/USA: ecco le novità del 2020
Facciamo un passo indietro: le novità del GDPR del 2018
Il Rinnovo dell’Authority è la prima novità del 2020
Salta l’accordo UE/USA nell’ambito del trasferimento dei dati personali
Facciamo un passo indietro: le novità del GDPR del 2018
Quando è entrato in vigore, il GDPR introduceva importanti e mai viste prima novità sul trattamento dei dati personali, volte sia a garantire la circolazione dei dati sia a tutelare il diritto alla privacy delle persone fisiche. Il GDPR ufficializzava infatti il principio di responsabilizzazione e dovere di rendicontazione (accountability) secondo cui:
- il titolare del trattamento ha l’obbligo di mettere in atto specifiche e adeguate misure tecniche e organizzative volte a dimostrare che il trattamento dei dati personali avviene in maniera conforme al regolamento
- non esistono più le misure minime di sicurezza, pertanto il titolare dovrà valutare l’adeguatezza delle misure di sicurezza da mettere in campo
Sulla base del principio di accountability, tutti i soggetti coinvolti nel trattamento dei dati devono quindi essere consapevoli e responsabili, oltre a tenere la documentazione comprovante della gestione eseguita.
Inutile negare che con l’entrata in vigore di questo regolamento, la normativa in materia di protezione dei dati personali ha assunto un ruolo determinante per l’adozione da parte di soggetti economici e pubblici di qualsiasi attività e decisione che implichi un trattamento dei dati personali.
Il Rinnovo dell’Authority è la prima novità del 2020
A integrazione del GDPR del 2018, sono sopraggiunte due novità della quali la prima è quella che discutiamo di seguito. Lo scorso 14 luglio 2020 le Camere hanno infatti raggiunto l’accordo per il rinnovo delle due fondamentali Authority, quella per la tutela della Privacy (Garante Privacy) e quella per le Comunicazioni (Garante per le Comunicazioni). Il rinnovo dei membri e dei presidenti delle due Autorità è stato lungo e complicato, non solo per la necessità impellente di procedere al rinnovo delle nomine a causa della naturale scadenza del mandato precedente ma anche a causa della diffusione della pandemia da coronavirus che ha mobilizzato tutto il mondo. A ogni modo, ecco i risultati raggiunti:
- per il Garante Privacy sono stati eletti: il giornalista Agostino Ghiglia e il giurista Pasquale Stanzione, Guido Scorza e Ginevra Cerrina Feroni
- per l’Autorità Garante per le Comunicazioni sono stati eletti: Antonello Giacomelli ed Enrico Mandelli, il dirigente del Mise Laura Aria e la sociologa Elisa Giomi
E infine, un focus sulla nomina della Presidenza delle due Autorità:
- per il Garante Privacy, il presidente è Pasquale Stanzione, il più “anziano” fra i quattro componenti;
- per l’Autorità Garante per le Comunicazioni, il presidente sarà nominato con decreto del Presidente della Repubblica su proposta del presidente del Consiglio, d’intesa con il ministro dello Sviluppo Economico, sentite le Commissioni di Camera e Senato convocate e riunite appositamente.
A breve si attendono quindi:
- la programmazione dei lavori del Collegio
- le linee di priorità nella trattazione degli affari da parte dell’Ufficio
- la programmazione delle attività ispettive
È lecito pertanto attendersi un incremento delle attività ispettive nel prossimo semestre.
Salta l’accordo UE/USA nell’ambito del trasferimento dei dati personali
È questa la seconda importante novità del 2020: il 16 luglio 2020, la Corte di Giustizia del Lussemburgo, con la sentenza n. C- 311/18, ha annullato la decisione della Commissione Europea n. 2016/1250 sul cd. Privacy Shield, ovvero l’accordo UE/USA nell’ambito del trasferimento dei dati personali. La Corte di Giustizia ha infatti ribadito:
- l’applicabilità del Regolamento (UE) 2016/679 (GDPR) e dei principi in esso contenuti anche ai dati personali trasferiti da uno Stato dell’UE a uno Stato al di fuori dell’UE
- l’obbligo da parte del Paese extra UE ricevente di garantire un livello di protezione essenzialmente equivalente a quello assicurato nell’ambito dell’UE
- la validità delle clausole standard che includono efficaci meccanismi per assicurare concretamente un livello di protezione equivalente a quello dell’UE
Le cosiddette clausole standard impongono:
- al soggetto che esporta i dati di verificare, prima del trasferimento, se il livello di protezione richiesto sia rispettato nel Paese extra UE
- al soggetto ricevente di informare il soggetto che esporta di ogni eventuale impossibilità in tal senso
- in mancanza dei requisiti, il trasferimento è obbligatoriamente sospeso e/o il contratto risolto
È ovvio che l’annullamento della Privacy Shield UE/USA apre un nuovo scenario in ambito privacy, oltre a tracciare un’inversione di tendenza nell’ambito dell’interpretazione e applicazione della normativa sul trasferimento dei dati personali dall’UE agli USA.
La conseguenza più visibile? Un evidente impatto per le aziende, gruppi americani con società in Europa e società europee che trasferiscono i dati verso gli USA. Ma anche molte questioni pratiche e dubbi interpretative da parte delle società e gruppi certificati Privacy Shield su come gestire i trasferimenti di dati personali in corso.
In un contesto così spinoso, è opportuno quindi che titolari e responsabili rivalutino l’utilizzo degli strumenti ad oggi espressamente autorizzati ed ancora in vigore nell’ambito dei trasferimenti UE/USA, ma anche le procedure di privacy legate alla tutela del diritto alla protezione dei dati personali. Anche perché, questi cambiamenti confermano ancora una volta quanto la normativa a tutela dei dati personali non sia una materia statica bensì in continua e rapida evoluzione, direttamente proporzionale all’avanzamento delle tecnologie.
