Invalidato il Privacy Shield - Parte 3 - Le FAQ dell'EDPB

L'EDPB (ossia l'organismo di cooperazione dei garanti privacy europei) ha pubblicato le FAQ sulla sentenza Schrems II, che pone molti limiti sui trasferimenti di dati personali negli USA:
- https://edpb.europa.eu/our-work-tools/our-documents/other/frequently-asked-questions-judgment-court-justice-european-union_en.

Grazie a Chiara Ponti degli Idraulici della privacy per aver condiviso il link.

Sicuramente i trasferimenti sotto Privacy shield non sono più validi. Anzi, sono illegali sin dal 16 luglio 2020.

Come ho già scritto, potrebbero essere usate le SCC (Standard contractual clauses o, in italiano, Clausole contrattuali tipo), ma anche quelle hanno dei problemi perché se la legislazione del Paese importatore non offre le garanzie legali presenti in Europa, un contratto tra privati non può migliorare la situazione. Stessa questione per le BCR (Binding corporate rules o, in italiano, norme vincolanti d'impresa).

Mi sembra che i capoversi fondamentali del documento dell'EDPB siano: "The EDPB is currently analysing the Court's judgment to determine the kind of supplementary measures that could be provided in addition to SCCs or BCRs, whether legal, technical or organisational measures, to transfer data to third countries where SCCs or BCRs will not provide the sufficient level of guarantees on their own. The EDPB is looking further into what these supplementary measures could consist of and will provide more guidance".

Traduco: se non sanno loro cosa fare per assicurare la validità delle SCC e BCR anche in Paesi con legislazione che non assicura un adeguato livello di protezione ai dati personali, io aspetto che lo sappiano e ce lo dicano.

Infine non mi pare dica niente sulle società di servizi informatici statunitensi che però assicurano l'uso di data center in Europa. E' sufficiente questa garanzia sull'uso di data center in Europa o no? Bisogna infatti dire che molti contratti con questi grandi fornitori di servizi IT non assicurano il completo rispetto della locazione geografica, come indicato dall'analisi di EDPS sui servizi Microsoft (che avevo già segnalato a suo tempo):
- https://edps.europa.eu/sites/edp/files/publication/20-07-02_edps_euis_microsoft_contract_investigation_en.html.