Con un comunicato rilasciato ad esito della 37esima riunione plenaria, il Comitato Europeo per la Protezione dei Dati (EDPB) ha annunciato una duplice iniziativa per fornire adeguato riscontro allo scenario creatosi per effetto della sentenza Schrems II della Corte di Giustizia europea (CGUE) che il 16 luglio 2020 aveva dichiarato invalida la decisione 2016/1250 della Commissione sull’adeguatezza delle tutele offerte dal Privacy Shield, l’accordo UE-USA per la protezione dei dati personali oggetto di trasferimento transatlantico (qui un’analisi sul portato della sentenza).

Innanzitutto l’EDPB ha disposto l’immediata creazione di una task force che sarà incaricata di esaminare i reclami presentati a seguito della sentenza: sono stati, infatti, presentati ben 101 reclami – identici tra loro – alle autorità per la protezione dei dati del SEE nei confronti di diversi titolari del trattamento negli Stati membri del SEE, in merito al loro utilizzo di servizi di Google/Facebook che comportano il trasferimento di dati personali. In particolare, i reclamanti, rappresentati dall’ONG NOYB, contestano che:

  • Google e Facebook trasferiscano dati personali negli Stati Uniti basandosi sullo scudo UE-USA per la privacy (Privacy Shield) o sulle clausole contrattuali tipo,
  • e che, alla luce della recente sentenza, i titolari in questione non sian in grado di garantire un’adeguata protezione dei dati personali dei reclamanti.

La task force, secondo gli intenti dell’EDPB, analizzerà la questione e garantirà una stretta cooperazione tra i membri del comitato.

La seconda iniziativa è tesa a fornire un supporto interpretativo a quelle società europee che, a seguito della sentenza Schrems II, non sanno se e come potranno continuare a trasferire dati verso fornitori extra UE senza incorrere nelle responsabilità previste dal GDPR: in aggiunta alle FAQ adottate il 23 luglio, viene creata una task force specifica con il compito di elaborare raccomandazioni per titolari e responsabili del trattamento nell’individuazione e nell’attuazione di adeguate misure supplementari finalizzate a garantire un’adeguata protezione in caso di trasferimento di dati verso paesi terzi.

Andrea Jelinek, la presidente dell’EDPB, ha dichiarato: “Il comitato è ben consapevole del fatto che la sentenza Schrems II attribuisce ai titolari del trattamento una responsabilità importante. Oltre alla dichiarazione e alle FAQ pubblicate subito dopo la sentenza, elaboreremo raccomandazioni per supportare titolari e responsabili del trattamento nella necessaria individuazione e attuazione di adeguate misure supplementari di natura giuridica, tecnica e organizzativa al fine di soddisfare il requisito di « equivalenza sostanziale » nel trasferimento di dati personali verso paesi terzi. Tuttavia, la sentenza ha implicazioni di ampia portata e i contesti dei trasferimenti di dati verso paesi terzi sono molto diversi. Pertanto, non si può pensare a una soluzione unica e di immediata applicazione. Ciascun titolare o responsabile dovrà valutare i trattamenti svolti e i relativi trasferimenti, adottando le misure opportune.”

Il 10 agosto scorso Gli Stati Uniti e la Commissione avevano annunciato in un comunicato stampa congiunto di avere avviato le trattative per un Privacy Shield migliorato al fine di adeguare il framework regolamentare alla sentenza Schrems II. In attesa di conoscere gli esiti di questa delicata concertazione (che coinvolge non solo la privacy dei cittadini UE ma anche ingenti interessi economici di importanti operatori USA) sarà importante il contributo delle task force messe in campo dall’EDPB.