La Corte di giustizia dell’Unione Europea (CGUE) si è pronunciata lo scorso 16 luglio (c.d. “Sentenza Schrems II”) in merito al regime di trasferimento dei dati tra l’Unione europea e gli Stati Uniti invalidando la decisione di adeguatezza del “Privacy Shield”, adottata nel 2016 dalla Commissione europea in seguito alla decadenza dell’accordo “Safe Harbor”.
Come ha agito la Svizzera a riguardo? Quale decisione ha preso l’Incaricato Federale?
L’Incaricato Federale ha preso atto della Sentenza Schrems II e ha aggiornato l’elenco degli stati che garantiscono una protezione adeguata con riferimento al “trasferimento di dati”. Gli USA sono stati esclusi dalla lista.
Ricordiamo che la Sentenza della Corte di giustizia dell’Unione Europea non ha diretta applicabilità in Svizzera. Tuttavia, come avvenuto in passato per il Safe Harbour, l’Incaricato Federale ha deciso autonomamente di escludere dalla lista dei paesi gli USA.
Anche sull’efficacia delle SCC l’incaricato si è espresso negativamente in ottica di affidabilità ed efficacia.
In merito i consigli che ha fornito l’IF sono:
- l’adozione di misure tecniche di cifratura sia con riferimento ai dati in transito sia con riferimento ai dati archiviati sui sistemi di elaborazione;
- il controllo della chiave di decifratura da parte del soggetto che trasferisce i dati;
- l’esclusione e astensione dal trasferimento di dati, in caso di impossibilità di gestire il rischio nonostante l’applicazione delle misure.
Cosa prevede la LPD in merito alla Comunicazione di dati all’estero?
La nuova norma LPD prevede che i dati personali possano essere comunicati all’estero soltanto se il Consiglio federale ha constatato che la legislazione dello Stato destinatario o l’organismo internazionale garantisce una protezione adeguata dei dati. A ciò si ricollega quanto sopra esposto con riferimento alla Sentenza Schrems II.
In assenza della decisione di cui sopra, i dati personali possono essere comunicati all’estero soltanto se adeguata protezione dei dati è garantita da:
- un trattato internazionale
- clausole contrattuali di protezione dei dati tra il titolare o il responsabile del trattamento e l’altro contraente, previamente comunicate all’IFPDT
- garanzie specifiche stabilite dall’organo federale competente, previamente comunicate all’IFPDT
- clausole tipo di protezione dei dati previamente approvate, stabilite o riconosciute dall’IFPDT
- norme interne dell’impresa vincolanti sulla protezione dei dati, previamente approvate dall’IFPDT o da un’autorità incaricata della protezione dei dati appartenente a uno Stato che garantisce una protezione adeguata
Vi sono inoltre delle eccezioni che possono applicarsi in deroga a quanto previsto ai punti sopra esposti. Applicando le eccezioni è previsto che i dati personali possano essere comunicati all’estero se:
- la persona interessata ha dato il suo espresso consenso alla comunicazione
- la comunicazione è in relazione diretta con la conclusione o l’esecuzione di un contratto tra il titolare del trattamento e la persona interessata, o tra il titolare del trattamento e un altro contraente, nell’interesse della persona interessata
- la comunicazione è necessaria per tutelare un interesse pubblico preponderante, o accertare, esercitare o far valere un diritto dinanzi a un giudice o a un’altra autorità estera competente
- la comunicazione è necessaria per proteggere la vita o l’integrità fisica della persona interessata o di un terzo e non è possibile ottenere il consenso della persona interessata entro un termine ragionevole
- la persona interessata ha reso i dati personali accessibili a chiunque e non si è opposta espressamente al loro trattamento
- i dati provengono da un registro previsto dalla legge accessibile al pubblico o alle persone con un interesse degno di protezione, sempreché nel caso specifico siano adempiute le condizioni legali per la consultazione
Le eccezioni, in quanto tali, non costituiscono la regola e si applicano con carattere di necessità e occasionalità.
Articolo a cura di Roberta De Giusti | Data Protection Consultant, Privacy Desk Suisse