Tutti gli articoli del nostro blog

Il caso Schrems II e lo Scudo per la Privacy – Sentenza UE sul trasferimento di dati UE-USA

Il Regolamento generale sulla protezione dei dati (GDPR) e la Direttiva ePrivacy (ePR) influiscono sul modo in cui il tuo sito web può utilizzare i cookie e su dove nel mondo può inviare dati personali.

Aggiornato in data 4 dicembre 2020.

Nel luglio 2020, la Corte di giustizia dell’Unione europea (CGUE) ha invalidato il “Privacy Shield” che permetteva il flusso di dati UE-USA senza restrizioni, in quanto i dati personali trasferiti e conservati negli Stati Uniti non godevano di un livello adeguato di protezione, come invece previsto dal GDPR.

In questo blogpost passiamo in rassegna la sentenza Schrems II, le indicazioni del Comitato europeo per la protezione dei dati (EDPB) sulla valutazione e la sicurezza dei trasferimenti di dati al di fuori dell’UE, analizzandone poi le conseguenze per il tuo sito web.

Usa il potente scanner di Cookiebot per scoprire verso dove nel mondo il tuo sito web invia i dati.

Schrems II e lo Scudo per la Privacy - Cookiebot CMP

Panoramica

Schrems II, lo Scudo per la Privacy e il flusso di dati EU-USA

Giovedì 16 luglio 2020 la Corte di giustizia dell’UE (CGUE) si è pronunciata nella causa nota come Schrems II (C-3111/18), nella quale i criteri per il trasferimento dei dati personali tra l’UE e gli USA sono stati contestati, invocando l’argomentazione che la legislazione statunitense non può garantire in modo adeguato la protezione dei dati personali dell’UE.

Con una decisione storica, la CGUE ha eliminato il cosiddetto “Privacy Shield” (Scudo per la Privacy), uno dei più diffusi sistemi che consentono alle società commerciali statunitensi di trasferire e conservare i dati personali dell’UE negli Stati Uniti.

La decisione della CGUE di annullare lo Scudo per la Privacy rende gli Stati Uniti un paese non adeguato, privo di alcun accesso speciale ai flussi di dati personali europei.

Inoltre, la CGUE ha approvato le Clausole contrattuali standard (SCC, dall’inglese Standard Contractual Clauses), un altro meccanismo comunemente utilizzato per i trasferimenti transatlantici di dati, affermando che questo sistema permette sostanzialmente di garantire il rispetto del livello di protezione richiesto dal diritto dell’Unione europea.

Tale decisione, tuttavia, prevede anche che i titolari del trattamento dei dati valutino il livello di protezione dei dati nel paese del destinatario dei dati, sospendendo il trasferimento in caso di non adeguatezza. Enfatizza inoltre il chiaro obbligo a carico di ciascuna autorità di protezione dei dati, in tutti i paesi membri dell’UE, di sospendere la trasmissione dei dati personali qualora i destinatari si trovino in nazioni ritenute non sicure in base ai requisiti dell’UE in materia di protezione dei dati.​

Leggi il comunicato stampa ufficiale della Corte di Giustizia dell’UE sulla sentenza Schrems II.

Consulta le FAQ dell’EDPB sul caso Schrems II – Privacy Shield.

Usa Cookiebot per vedere verso dove nel mondo il tuo sito invia dati.

Raccomandazioni dell’EDPB per i trasferimenti di dati al di fuori dell’UE

Il 10 novembre 2020, il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato delle raccomandazioni su come trasferire i dati al di fuori dell’UE in una guida dettagliata per le aziende e le organizzazioni, facendo chiarezza sulla confusione che si è creata nel settore da quando lo Scudo per la Privacy è stato abrogato all’inizio del 2020.

Le indicazioni dell’EDPB aiutano i proprietari e gli operatori dei siti web a orientarsi nell’infinità di leggi sull’invio di dati verso paesi non adeguati al di fuori dell’UE, come gli Stati Uniti, assicurandosi che i dati rimangano comunque protetti.

L’EDPB ha anche pubblicato un secondo documento – “EU Essential Guarantees”, cioè Garanzie Essenziali UE – che può essere utilizzato come supporto per i proprietari e gli operatori dei siti web nel momento in cui si trovano a valutare se i trasferimenti di dati verso un paese sono sicuri o meno.

Raccomandazioni dell’EDPB sulle misure supplementari (PDF) – in inglese

Garanzie essenziali dell’UE (PDF) – in inglese

Nella parte seguente dell’articolo esamineremo le raccomandazioni dell’EDPB sul trasferimento sicuro di dati al di fuori dall’UE, soffermandoci sulle conseguenze che esse possono avere sull’utilizzo dei cookie da parte del tuo sito web e sul trattamento dei dati personali dei tuoi utenti finali.

N.B. tieni presente che i siti internet possono inviare dati anche in modi diversi dai cookie e i tracker.

Step 1 – Verso dove invii dati?

Devi sapere verso dove nel mondo il tuo sito web invia i dati personali degli utenti finali – questo è il primo passo.

Questa è la chiave di tutto il resto: se ad esempio scopri che il tuo sito web invia dati personali degli utenti verso gli Stati Uniti, allora ti sarà necessario adottare ulteriori misure per garantire la conformità.

La mappatura del flusso di dati del tuo sito web può essere un compito piuttosto complesso ma, utilizzando il potente scanner di siti web di Cookiebot, potrai individuare automaticamente tutti i cookie e i tracker del tuo sito e ricevere un report dettagliato su dove nel mondo il tuo sito web invia dati.

Scansiona gratis il tuo sito web per vedere verso dove nel mondo invii dati.

Step 2 – Come invii i dati?

Una volta che hai capito dove nel mondo il tuo sito web invia i dati personali, il secondo punto delle raccomandazioni dell’EDPB consiste nel fare in modo di utilizzare il corretto meccanismo di trasferimento.

Se il tuo sito invia dati personali a paesi con un accordo di adeguatezza con l’UE (ad es. il Giappone), non è necessario adottare ulteriori misure in relazione a questi trasferimenti di dati.

Se però il tuo sito invia dati personali anche a paesi senza un accordo di adeguatezza con l’UE (ad esempio gli Stati Uniti), devi assicurarti di utilizzare uno degli strumenti di trasferimento elencati nell’Articolo 46 del GDPR.

E ricorda: occorre sempre avere il consenso degli utenti finali per poter raccogliere o trattare dati personali, anche se non li invii a paesi extra UE.

Scansiona gratuitamente il tuo sito e scopri quali cookie raccolgono dati personali degli utenti.

Step 3 – I dati saranno protetti dopo l’invio?

Il terzo passaggio del manuale di raccomandazioni dell’EDPB consiste nel valutare se in un paese esistono leggi o prassi di tutela della privacy in grado di garantire un livello equiparabile di protezione per gli utenti del tuo sito web e per i loro dati personali.

Questo step potrebbe sembrare un po’ insidioso – magari non hai molta dimestichezza con la legislazione statunitense in materia di privacy?

Andiamo a vedere in che modo le Garanzie Essenziali UE dell’EDPB possono darti una mano a determinare il livello di protezione dei dati di un paese.

Le EU Essential Guarantees possono aiutarti a comprendere come effettuare una valutazione di questo tipo sui paesi verso i quali il tuo sito web invia dati, ad esempio verificando se:

  • il trattamento dei dati nel paese si basa su regole chiare, precise e accessibili,
  • gli obiettivi legittimi per il trattamento dei dati sono conformi alla legislazione europea,
  • il paese dispone di un meccanismo di controllo indipendente, ad esempio un’autorità per la protezione dei dati,
  • i tuoi utenti dispongono di mezzi legali a cui ricorrere se i loro diritti garantiti dal GDPR vengono violati.

Scansiona il tuo sito web e scopri verso dove nel mondo invii i dati.

Step 4 – Adotta ulteriori protezioni per il trasferimento dei dati

Se scopri che il tuo sito web invia dati personali di utenti finali, ad esempio verso gli Stati Uniti, dove non è garantito un livello adeguato di protezione dei dati, il quarto punto delle raccomandazioni dell’EDPB illustra come è possibile assicurarsi una maggiore sicurezza per quanto riguarda i trasferimenti di dati, in modo che siano conformi agli standard di equivalenza dell’UE.

Tra queste disposizioni supplementari contenute nelle raccomandazioni dell’EDPB ci sono:

  • Salvaguardie tecniche (come protocolli di cifratura e pseudonimizzazione),
  • Garanzie contrattuali (come impegni di trasparenza degli importatori e controlli rafforzati),
  • Provvedimenti organizzativi (come politiche interne di governance dei trasferimenti).

Queste misure supplementari sono contenute nell’Allegato 2 delle raccomandazioni dell’EDPB (PDF)

Step 5 & 6 – Documenta e riesamina

Nello step 5 e lo step 6 della guida contenente le raccomandazioni dell’EDPB, vieni incoraggiato a documentare le tue pratiche di trasferimento dei dati e il modo in cui garantisci un’adeguata tutela agli utenti finali del tuo sito.

Sei inoltre esortato a riesaminare ad intervalli regolari le tue modalità di trasferimento dei dati, così da mantenerti sempre aggiornato sugli ultimi sviluppi in materia nei vari paesi verso cui invii i dati.

Scansiona il tuo sito e scopri verso dove nel mondo invii dati.

Verso quali paesi invia dati il tuo sito web?

Scansiona gratuitamente il tuo sito internet con Cookiebot

Esegui la scansione del tuo sito web per avere una panoramica completa di tutti i cookie e le attività di tracciamento in funzione sul tuo dominio, per averne il pieno controllo.

La tecnologia di scansione di Cookiebot, leader mondiale nel settore, ti permette di identificare il tipo di dati che il tuo sito elabora e verso quali parti del mondo invia i dati degli utenti.

Richiedi un report di scansione gratuito da Cookiebot: scoprirai non solo a quali paesi ciascun cookie del tuo sito invia i dati degli utenti, ma anche se questi paesi sono considerati adeguati dall’Unione Europea.

Con Cookiebot, ti assicuri la totale trasparenza dei flussi di dati del tuo sito web e il pieno controllo dei cookie di terzi, come i cookie di Facebook e Google dagli Stati Uniti.

Logo banner powered by Cookiebot by Usercentrics
Il banner di consenso di Cookiebot, che permette al tuo sito web di ottenere la piena conformità al GDPR.

La piattaforma per la gestione del consenso di Cookiebot offre agli utenti finali la possibilità di esprimere un vero e proprio consenso ai diversi tipi di cookie. Ciò è possibile grazie a un cookie banner che raggruppa automaticamente tutti i tracker in quattro categorie di cookie semplici ed intuitive, che gli utenti finali possono attivare e disattivare in modo granulare, a garanzia di un consenso valido ai sensi del GDPR.

Assoluta trasparenza

La tecnologia di scansione di Cookiebot trova tutti i cookie e i tracker del tuo sito web e mappa con precisione le tipologie di dati personali elaborati e le destinazioni in cui essi vengono inviati, consentendoti in tempi rapidi di conoscere appieno il livello di conformità del tuo dominio e il grado di protezione dei dati dell’utente finale.

Piena conformità

La piattaforma per la gestione del consenso di Cookiebot conferisce pieno controllo all’utente finale, permettendogli di prestare il consenso granulare per ciascuna specifica finalità di trattamento dei dati, così come richiesto dal GDPR per garantire una completa protezione dei dati personali.

Massima personalizzabilità

Cookiebot è completamente personalizzabile, dando così al tuo sito web la possibilità di informare gli utenti sulla tua specifica configurazione dei cookie e del tracciamento, coinvolgendoli in un dialogo onesto e trasparente su quali dati vengono elaborati, e su come, per quale scopo e dove nel mondo vengono inviati.

Scansiona il tuo sito web gratuitamente con Cookiebot e scopri dove nel mondo vengono inviati i dati degli utenti.

Prova Cookiebot gratuitamente per 14 giorni… o per sempre, se il tuo sito web è di dimensioni contenute.

Per saperne di più sull’invio di dati personali a paesi non adeguati, consulta il nostro articolo di supporto.

Per saperne di più sul GDPR e il consenso ai cookie, leggi qui.

Per saperne di più sulla conformità al CCPA con Cookiebot, leggi qui.

Di cosa tratta il caso Schrems II?

Il caso Schrems II, che prende il nome dell’avvocato attivista per la privacy austriaco Max Schrems di NOYB, ha messo in discussione due dei meccanismi più utilizzati per il trasferimento di dati personali dall’UE agli Stati Uniti, ovvero le Clausole contrattuali standard (SCC) e il principio dello Scudo per la Privacy.

Il Regolamento generale sulla protezione dei dati (GDPR) dell’UE prevede che un paese debba avere un livello adeguato di protezione dei dati, prima che possano esservi trasmessi dati personali dall’UE. Le decisioni di adeguatezza prese dalla Commissione UE stabiliscono se i dati personali possono essere legalmente inviati a un paese al di fuori dell’UE.

L’Unione Europea non ritiene che gli Stati Uniti abbiano un sufficiente livello di protezione dei dati; tuttavia, diversi sistemi di trasferimento consentono alle società e alle organizzazioni commerciali negli Stati Uniti di inviare di dati personali dall’UE agli USA, dove questi dati vengono poi conservati.

Tra questi vi sono le Clausole contrattuali standard (SCC), lo Scudo per la Privacy e le Norme vincolanti d’impresa (BCR, dall’inglese Binding Corporate Rules).

I dati personali dell’UE vengono protetti in maniera adeguata dopo il trasferimento negli USA?

Il caso Schrems II è giunto alla CGUE a seguito di una richiesta presentata nel 2015 da Max Schrems al garante per la protezione dei dati (Data Protection Commissioner) irlandese di imporre a Facebook la sospensione dei trasferimenti di dati dall’UE agli Stati Uniti.

Le procedure di Facebook per la trasmissione dei dati personali dell’UE verso gli Stati Uniti, passando per la sede centrale in Irlanda, si basano sulle SCC.

Il caso Schrems II ha messo in discussione la legalità di questo sistema, sostenendo che Facebook non può garantire un livello di protezione dei dati che sia adeguato per l’UE, poiché le leggi statunitensi (come la FISA 702 e l’EO 12.333) impongono una massiccia sorveglianza, in netto contrasto con la legislazione eurounitaria (come il GDPR), che prevede invece una forte tutela della privacy dei dati.

La richiesta di Schrems di vietare il trasferimento dei dati di Facebook dall’UE agli Stati Uniti è poi passata dall’Alta Corte irlandese alla CGUE. La massima autorità giuridica dell’UE ha formulato undici domande, tutte se e come i dati personali dei cittadini dell’UE possano essere protetti negli Stati Uniti, il cui panorama giuridico è radicalmente diverso.

La sentenza della CGUE nella causa Schrems II del 16 luglio 2020 si è sostanzialmente schierata con Max Schrems, rendendo invalido lo Scudo per la Privacy come meccanismo per il trasferimento UE-USA dei dati personali e stabilendo severi obblighi per i titolari del trattamento dei dati e per le autorità preposte alla protezione dei dati in ogni Stato membro dell’UE, al fine di garantire un’adeguata protezione dei trasferimenti di dati personali laddove si utilizzino le Clausole contrattuali standard come meccanismo.

Fai il test gratuito e scopri se il tuo sito web invia dati personali a paesi non adeguati.

Annullato anche il Privacy Shield Svizzera-USA

L’8 settembre 2020, in seguito a un’attenta valutazione dello Scudo per la Privacy Svizzera-USA, finalizzato a garantire il trasferimento di dati tra la Svizzera e gli Stati Uniti, l’Incaricato Federale della Protezione dei Dati e della Trasparenza (IFPDT) ha dichiarato inadeguato il suddetto regime di trasferimento.

L’IFPDT ha giudicato inadeguato il livello di protezione dei dati negli Stati Uniti, invalidando di conseguenza il meccanismo di trasferimento del basato sul Privacy Shield Svizzera-USA – una decisione simile a quella della CGUE, che ha annullato lo Scudo Privacy UE-USA.

Per saperne di più sulla decisione relativa al Privacy Shield Svizzera-USA, leggi qui.

FAQ

Cos’è Schrems II?

Schrems II è una sentenza della Corte di Giustizia dell’Unione Europea (CGUE) sui meccanismi che regolano i flussi di dati personali dall’UE agli Stati Uniti. La CGUE ha abrogato lo Scudo per la Privacy, un quadro di riferimento ampiamente utilizzato per il trasferimento dei dati personali verso gli Stati Uniti, e ha stabilito che le Clausole contrattuali standard (SCC) possono essere impiegate, a patto che il titolare del trattamento dei dati, il destinatario dei dati e l’autorità per la protezione dei dati nel paese membro dell’UE ritengano che il trasferimento sia in grado di garantire un livello adeguato di protezione dei dati.

Effettua una scansione gratuita e scopri verso dove il tuo sito web invia i dati.

Il mio sito invia dati agli USA?

Se il tuo sito web utilizza cookie e tracker provenienti da piattaforme social, strumenti di analisi o software di marketing gestiti da società statunitensi, è molto probabile che questi trasmettano e memorizzino i dati personali dei tuoi utenti finali negli Stati Uniti.

Scansiona il tuo sito web con Cookiebot per ottenere la massima trasparenza.

Il mio sito web è conforme al GDPR?

Per assicurarti che il tuo sito internet sia conforme al Regolamento generale sulla protezione dei dati (GDPR), ti è necessario richiedere e ottenere il consenso esplicito degli utenti finali prima di qualsiasi raccolta, trattamento o condivisione dei loro dati personali. Se sul tuo sito web sono presenti cookie di Facebook o Google, la loro attivazione è permessa solo dopo che i tuoi utenti ne abbiano dato il consenso.

Per saperne di più sul GDPR e il consenso ai cookie, leggi qui.

Come posso scansionare il mio sito web alla ricerca dei cookie?

L’utilizzo di una piattaforma per la gestione del consenso con una tecnologia di scansione all’avanguardia a livello mondiale ti permette di effettuare una scansione approfondita del tuo dominio per rilevare e tenere sotto controllo tutti i cookie e le analoghe tecnologie di tracciamento. La mappatura della configurazione dei cookie del tuo sito web ti offre una panoramica immediata di come il tuo sito web elabora i dati personali e di dove nel mondo invia questi dati.

Prova Cookiebot gratuitamente per 14 giorni… o per sempre, se il tuo sito web è di piccole dimensioni.

Risorse

Comunicato stampa ufficiale della Corte di giustizia dell’Unione Europea (CGUE) sulla causa Schrems II/Scudo per la Privacy

Riassunto e riflessioni sulla sentenza Schrems II a cura di Max Schrems, NOYB

Linee guida dell’EDPB sull’invio di dati a paesi terzi non adeguati (in inglese)

Il GDPR e il consenso ai cookie

La conformità al GDPR per il tuo sito web

Linee guida dell’EDPB sul consenso valido nell’UE (in inglese)

Prova Cookiebot gratuitamente per 14 giorni … o per sempre, se il tuo sito web ha dimensioni contenute.

    Non perderti nessuna novità

    Unisciti alla nostra community di sostenitori della privacy dei dati in continua crescita. Iscriviti alla newsletter di Cookiebot™ e ricevi tutti gli ultimi aggiornamenti direttamente nella tua casella di posta.

    Cliccando su "Iscriviti" confermo di volermi iscrivere alla newsletter di Cookiebot™. Posso cancellare la mia iscrizione alla newsletter di Cookiebot™ e revocare il consenso all'utilizzo dei miei dati cliccando sul link di disiscrizione oppure scrivendo a [email protected]. Informativa sulla privacy.

    Rendi conforme l’uso dei cookie e del tracciamento online sul tuo sito ora!

    PROVALO GRATUITAMENTE