Si avvicina il termine per l’adeguamento delle clausole contrattuali standard per il trasferimento di dati. Come noto, il GDPR prevede che possono essere utilizzate clausole adeguate al fine di garantire che il trasferimento di dati tra l’Unione Europea e paesi terzi avvenga in conformità con la disciplina vigente. A tal fine, la Commissione europea ha recentemente aggiornato le clausole contrattuali standard che, per ragioni di certezza del diritto, ha inserito come allegati alla decisione 2021/914 del 4 giugno 2021. La decisione prevede, altresì, un periodo transitorio: i titolari del trattamento potranno continuare ad utilizzare le clausole standard previgenti fino al 27 dicembre 2022.
La gestione dei dati personali è, a volte, trascurata nei processi di gestione. Tuttavia, una decisione recente del garante per la privacy ricorda la necessità di prestare particolare attenzione alla gestione del trattamento dei dati personali nei processi aziendali. Con provvedimento del 9 giugno 2022 il garante privacy ha sanzionato una società titolare di un sito web che utilizzava Google Analytics senza adeguata informativa. Infatti, attraverso l’utilizzo degli strumenti di analisi dell’utenza messi a disposizione gratuitamente da Google, alcuni dati avente natura personale come, per esempio, l’indirizzo IP, vengono trasmessi negli Stati uniti. L’indirizzo IP “costituisce un dato personale nella misura in cui consenta di identificare un dispositivo di comunicazione elettronica, rendendo pertanto indirettamente identificabile l’interessato in qualità di utente” e la possibilità di anonimizzare il trasferimento – ha rilevato il garante – non è sufficiente a garantire un corretto trattamento dei dati, dal momento che Google è in grado di invertire il procedimento di anonimizzazione.
Torna in rilievo il dettame dei principi posti dalla corte di giustizia dell’Unione Europea con la decisione Schrems II che ha affermato l’invalidità della decisione della Commissione europea sull’adeguatezza della protezione offerta dal regime dello scudo EU/USA. La violazione della disciplina sul trattamento dei dati può comportare sanzioni anche significative e, pertanto, appare opportuno un’adeguata revisione dei processi di gestione dei dati personali. Il trasferimento illegittimo dei dati personali può comportare una significativa sanzione ai sensi di quanto previsto dal GDPR.
Per maggiori informazioni o per un gradito feedback scrivete a [email protected]
Marco Amorese
Anna Orofino