101 Reclami su trasferimenti UE-USA presentati

Ago 17, 2020

Una rapida analisi del codice sorgente HTML delle principali pagine web dell'UE mostra che molte aziende utilizzano ancora Google Analytics o Facebook Connect un mese dopo un'importante sentenza della Corte di Giustizia dell'Unione Europea (CGUE) - nonostante entrambe le aziende siano chiaramente soggette alle leggi di sorveglianza statunitensi, come la FISA 702. Né Facebook né Google sembrano avere una base giuridica per il trasferimento dei dati. Google sostiene ancora di fare affidamento sul "Privacy Shield" un mese dopo la sua invalidazione, mentre Facebook continua ad utilizzare gli "SCC", nonostante la Corte abbia constatato che le leggi di sorveglianza statunitensi violano l'essenza dei diritti fondamentali dell'UE.

101 Denunce presentate, riguardanti aziende in 30 Stati membri dell'UE e dello SEE Sono state presentate denunce in tutti i 30 Stati membri dell'UE e del SEE contro 101 aziende europee che trasmettono ancora i dati di ogni visitatore a Google e Facebook Le denunce vengono presentate anche contro Google e Facebook negli Stati Uniti, per aver continuato ad accettare questi trasferimenti di dati, nonostante essi siano in violazione del GDPR. I siti web sono stati scelti sulla base del TLD dello Stato membro (come ".fr" per la Francia), di due codici specifici e del traffico della pagina.

"Abbiamo fatto una rapida ricerca sui principali siti web di ogni Stato membro dell'UE per trovare i codici di Facebook e Google. Questi frammenti di codice trasmettono i dati di ogni visitatore a Google o Facebook. Entrambe le società ammettono di trasferire i dati degli europei negli Stati Uniti per l'elaborazione, dove queste società hanno l'obbligo legale di mettere tali dati a disposizione delle agenzie statunitensi come la NSA. Né Google Analytics né Facebook Connect sono essenziali per la gestione di queste pagine web e sono servizi che avrebbero già potuto essere sostituiti o almeno disattivati. "dice Max Schrems, presidente onorario di noyb.eu.

Le aziende dell'UE e degli Stati Uniti ignorano ampiamente le decisioni Le aziende statunitensi come Google, Facebook o Microsoft sono chiaramente soggette all'obbligo di fornire i dati personali delle persone nell'UE al governo statunitense in base a leggi come la FISA 702 o la EO 12.333. Essi sono addirittura menzionati nei documenti di Snowden. Nonostante la chiara sentenza della CGUE, essi sostengono ora che i trasferimenti di dati possono continuare secondo le cosiddette clausole contrattuali standard - e molte esportazioni di dati dell'UE sembrano più che disposte ad accettare questa falsa affermazione.

Schrems: "La Corte ha affermato esplicitamente che non si possono utilizzare le SCC quando il destinatario negli Stati Uniti rientra nel campo di applicazione di queste leggi di sorveglianza di massa. Sembra che le aziende statunitensi stiano ancora cercando di convincere i loro clienti dell'UE del contrario. Questo è più che losco. Secondo gli SCC, l'importatore di dati USA dovrebbe invece informare il mittente dei dati UE di queste leggi e avvertirlo. Se ciò non viene fatto, queste società statunitensi sono in realtà responsabili di qualsiasi danno finanziario causato.

Le autorità di protezione dei dati dovranno intervenire La GDPR richiede che ogni autorità per la protezione dei dati (DPA) in ogni Stato membro faccia rispettare la legge, soprattutto quando riceve un reclamo. La Corte di giustizia ha sottolineato esplicitamente il dovere delle autorità di protezione dei dati di agire. Questo può variare da avvisi di divieto a gravi sanzioni di 20 milioni di euro o il 4% del fatturato mondiale del mittente UE e del destinatario USA dei dati personali.

noyb fornisce linee guida per le aziende Soprattutto per le piccole imprese dell'UE che non sono certe delle leggi di sorveglianza degli Stati Uniti e se il loro partner americano rientra in queste leggi, noyb ha fornito linee guida gratuite e richieste di modelli sulla sua pagina web.

Sono previste ulteriori azioni legali noyb sta pianificando di aumentare gradualmente la pressione sulle società dell'UE e degli Stati Uniti affinché rivedano le loro modalità di trasferimento dei dati e si adeguino alla chiara sentenza della Corte suprema dell'UE. Schrems: "Pur comprendendo che alcune cose potrebbero richiedere un certo tempo per riorganizzarsi, è inaccettabile che alcuni attori sembrino semplicemente ignorare la Corte suprema europea. Questo è ingiusto anche nei confronti dei concorrenti che rispettano queste regole. Gradualmente prenderemo provvedimenti contro i controllori e i processori che violano la GDPR e contro le autorità che non fanno rispettare la sentenza della Corte, come il DPC irlandese che rimane inattivo"