In questa pagina abbiamo riassunto le opzioni per gli utenti che vogliono interrompere il trasferimento dei loro dati verso gli Stati Uniti dopo la sentenza della Corte di Giustizia dell'UE nella causa C-311/18 ("Schrems II") sul Privacy Shield e le clausole contrattuali standard ("SCC"). Inoltre abbiamo aggiunto un paio di FAQ che possono aiutarvi a identificare i casi in cui avete il diritto di richiedere la sospensione del trasferimento dei dati.
Cosa posso fare adesso?
Il GDPR vi dà il diritto di ottenere informazioni sui vostri dati e di agire - usatelo!
FASE 1: Richiesta sul trasferimento di dati al di fuori dell'UE
Potete chiedere all'organizzazione che tratta i vostri dati (un'azienda, un'istituzione pubblica o qualsiasi altro ente) se stanno trasferendo i vostri dati al di fuori dell'UE, e dove, a chi e su quali basi li stanno trasferendo. Questo fa parte del vostro diritto di accesso e del vostro diritto ad essere informati. Una richiesta di questo tipo può essere indirizzata all'organizzazione in questione via e-mail (di solito forniscono una e-mail in cui è possibile inviare tali richieste). Poiché questa risposta non richiede un'analisi approfondita da parte dell'organizzazione, e considerando che la sentenza della CGUE non prevede un periodo di grazia per i trasferimenti internazionali illegali, dovrebbero fornirvi una risposta abbastanza rapida
Potete utilizzare il seguente testo per scrivere la vostra richiesta:
Gentili Signori,
Sono uno dei vostri clienti. In conformità agli articoli 12, 13, 14 e 15 del GDPR, effetuo la seguente richieste:
- Trasferite dati al di fuori dell'UE? Se sì, in quali paesi?
- Su quale base giuridica si basa il trasferimento (ad es. decisione di adeguatezza, SCC, BCR, deroghe...)? Se avete utilizzato SCC o BCR, siete pregati di fornire una copia degli SCC o BCR utilizzati per ogni trasferimento.
- Se inviate dati personali negli Stati Uniti, qualcuno dei vostri partner rientra nella definizione di cui al 50 USC §1881a ("FISA 702") o fornisce dati al governo degli Stati Uniti ai sensi della disposizioni di cui all'EO 12.333?
- Se inviate dati personali negli Stati Uniti, quali misure tecniche state adottando affinché i miei dati non siano esposti a intercettazioni da parte del governo americano quando sono in transito?
Chiedo di ottenere una risposta entro una settimana, poiché il GDPR richiede di rispondere senza indebito ritardo. Si tratta di una semplice richiesta che non richiede un'analisi approfondita. Un'ulteriore identificazione al di là della mia e-mail non sembra necessaria, dato che non richiedo una copia dei miei dati personali. Se avete bisogno di ulteriori informazioni, non esitate a contattarmi.
Cordiali saluti,
[Il tuo nome]
FASE 2: Richiesta di interruzione del trasferimento verso gli Stati Uniti
Se l'azienda o l'organizzazione vi dice che i vostri dati sono inviati a una società statunitense che rientra nelle leggi di sorveglianza di massa di cui sopra, potete chiedere alla società presente in UE di bloccare il trasferimento di tali dati.
Potete utilizzare il seguente testo per scrivere la vostra richiesta:
Gentili Signori,
Sono uno dei vostri clienti. Ho motivo di credere che trasferiate illegalmente i miei dati personali negli Stati Uniti.
Nel caso in cui i dati siano trasferiti in favore di un "fornitore di servizi di comunicazione elettronica" con sede negli Stati Uniti, come definito nel 18 U.S. Code §1881(4)(b), o, se per tali trasferimenti vi affidate ancora al Privacy Shield, vi chiedo di interrompere immediatamente il trasferimento dei miei dati personali. Vi prego di fornirmi riscontro delle azioni intraprese entro una settimana dal ricevimento della presente.
Se avete bisogno di ulteriori informazioni, non esitate a contattarmi.
Cordiali saluti,
[Il tuo nome]
FASE 2+3: Richiesta di non trasferire più i dati negli Stati Uniti
È inoltre possibile combinare una richiesta di informazioni con la richiesta di interrompere la trasmissione dei dati:
Potete utilizzare il seguente testo per scrivere la vostra richiesta:
Gentili Signori,
Sono uno dei vostri clienti. In conformità agli articoli 12, 13, 14 e 15 del GDPR, faccio la seguente richiesta:
- Trasferite dati al di fuori dell'UE? Se sì, in quali paesi?
- Qual è la base giuridica su cui si basa ogni trasferimento (ad esempio decisione di adeguatezza, SCC, BCR, deroghe...)? Se avete utilizzato SCC o BCR, vi preghiamo di fornire una copia degli SCC o BCR utilizzati per ogni trasferimento.
- Se inviate dati personali negli Stati Uniti, uno dei vostri partner rientra nella 50 USC §1881a ("FISA 702") o fornisce dati al governo degli Stati Uniti ai sensi della norma EO 12.333?
- Se inviate dati personali negli Stati Uniti, quali misure tecniche state adottando affinché i miei dati personali non siano esposti a intercettazioni da parte del governo americano in transito?
- Se trasferite i vostri dati personali ad un "fornitore di servizi di comunicazione elettronica" con sede negli Stati Uniti, come definito nel 18 U.S. Code §1881(4)(b), o, se vi affidate ancora al Privacy Shield per tale trasferimento, vi chiedo di interrompere immediatamente il trasferimento dei miei dati personali
Si prega di rispondere entro una settimana, poiché il GDPR richiede di rispondere "senza indebito ritardo". Si tratta di una semplice richiesta che non richiede un'analisi estensiva. Un'ulteriore identificazione al di là della mia e-mail non sembra necessaria, dato che non richiedo una copia dei miei dati personali. Se avete bisogno di ulteriori informazioni non esitate a contattarmi
Cordiali saluti,
[Il tuo nome]
FASE 3: Presentare un reclamo all'autorità di protezione dei dati per bloccare il trasferimento verso gli Stati Uniti
Se la vostra azienda non interrompe i trasferimenti non necessari verso gli Stati Uniti o non risponde, potete sempre presentare un reclamo all'autorità di protezione dei dati locale
In questa pagina è possibile trovare un link verso la vostra autorità locale per la protezione dei dati (DPA) https://edpb.europa.eu/about-edpb/board/members_en. La procedura esatta per la presentazione di un reclamo dipende dalle leggi del paese in cui lo si presenta, ma il processo è generalmente piuttosto informale. La maggior parte dei siti web dell'autorità per la protezione dei dati fornisce un modulo di reclamo in cui è possibile spiegare la propria situazione.
A titolo orientativo potete utilizzare il seguente testo per presentare un reclamo:
In futuro potremmo offrire testi più specifici. Non dimenticate di aggiungere una spiegazione della vostra situazione personale a questo testo.
Gentile Signori,
Sono un cliente di [nome e indirizzo della società]
I dati del mio conto sono [compilare qui].
Credo che [nome della società] continui a trasferire illegalmente i miei dati personali perché [includere qualsiasi indicazione, come la loro politica sulla privacy o la risposta che vi hanno inviato]
Mi riferisco alla sentenza della CGUE nella causa C-311/18 - Schrems II. Considerando che [nome dell'organizzazione] continua a trasferire i miei dati personali negli Stati Uniti senza un'adeguata base legale, vi chiedo di indagare sulla questione e di ordinare la sospensione o il divieto del trattamento
Cordiali saluti,
[Il tuo nome]
FAQ per gli utenti
Perché la Corte ha ritenuto che ci fossero problemi con i trasferimenti di dati UE-USA?
Il diritto dell'UE garantisce a tutti il diritto alla privacy, alla protezione dei dati e al ricorso in tribunale. La Corte di giustizia dell'UE ha ribadito questi diritti in relazione ai trasferimenti di dati agli Stati Uniti. In breve, la Corte ha affermato che la sorveglianza di massa negli Stati Uniti insieme alla mancanza di protezione effettiva contro la sorveglianza illegale spesso (ma non sempre) rende illegale il trasferimento dei dati verso gli Stati Uniti
Quali trasferimenti di dati sono ancora legali?
Ai sensi dell'articolo 49 GDPR, alcuni trasferimenti "necessari" sono ancora legali in qualsiasi circostanza (ad esempio, quando si prenota un hotel negli Stati Uniti e la prenotazione viene inviata all'hotel americano). È ancora legale trasferire i dati quando si è stati informati delle leggi statunitensi e si è esplicitamente e liberamente prestato il consenso. Il consenso deve poter essere revocato in qualsiasi momento, senza conseguenze negative
È inoltre possibile inviare sempre i propri dati negli Stati Uniti (se si desidera utilizzare direttamente un provider che si trova solo sul suolo statunitense).
Quali trasferimenti di dati sono vietati?
I trasferimenti in favore di società statunitensi soggette ai programmi di "sorveglianza di massa" come il FISA 702 (chiamata anche 50 USC §1881a) sono di solito vietati. Le aziende soggette a tali programmi sono i cosiddetti "fornitori di servizi di comunicazione elettronica". Si tratta di un termine ampio ai sensi della legge statunitense e comprende la maggior parte dei fornitori di servizi informatici e cloud.
Esempi di questi fornitori sono AT&T, Amazon (AWS), Apple, Cloudflare, Dropbox, Facebook, Google, Microsoft, Verizon Media (noto come Oath e Yahoo) o Verizon. I link di ciascuna delle società vi porteranno ai loro rapporti di trasparenza che vi diranno con quale frequenza sono stati oggetto di richieste di accesso ai dati da parte del governo degli Stati Uniti.
Ciò significa che le tipiche situazioni di "outsourcing" (quando un'impresa dell'UE inoltra i vostri dati a una società statunitense che a sua volta li elabora) sono nella maggior parte dei casi illegali.
Ricordate che, quando si risiede nell'UE, spesso si ha un contratto con una filiale UE di tale società statunitense (ad esempio, gli utenti di Facebook hanno un contratto con Facebook Ireland). Se esternalizzano il trattamento dei vostri dati, in tutto o in parte, alla società madre statunitense, il trasferimento è ugualmente illegale.
Cos'è il "Privacy Shield" e cosa sono le "Clausole contrattuali standard" o gli "SCC"?
Secondo il GDPR, i dati personali non possono lasciare l'UE. Come eccezione a questa regola, le aziende possono utilizzare alcuni strumenti legali per consentire i trasferimenti. Due degli strumenti più comuni su cui le aziende si basano per trasferire i vostri dati dall'UE verso gli Stati Uniti: le "clausole contrattuali standard" (o "SCC") e il "Privacy Shield".
Il Privacy Shield è stato invalidato dalla Corte di giustizia, quindi non esiste più. I dati non possono essere trasferiti negli Stati Uniti con questo strumento a far data dal 16 luglio 2020
Quasi lo stesso effetto si verifica in caso di utilizzo degli SCC. Tutte le aziende US soggette ai programmi di sorveglianza di massa non possono più utilizzare le SCC . Ciò è dovuto al fatto che le SCC (una sorta di contratto) non possono opporre alcuna "resistenza" nei confronti della legge statunitense.
Quali sono le conseguenze nella vita di tutti i giorni?
Di seguito, potete trovare alcuni esempi di casi comuni che probabilmente includono il trasferimento dei vostri dati personali negli Stati Uniti
Casi che sono tipicamente interessati dalla sentenza:
Se siete clienti di una società UE/SEE che:
- è un'affiliata o collegata a una società statunitense (ad es. Google, Apple, Amazon, Microsoft, Facebook, Instagram, Twitter, Yahoo e simili) oppure
- memorizza o effettua altri tipi di trattamento negli Stati Uniti (molte imprese "medie" dell'UE).
Casi che in genere non sono interessati dalla sentenza:
Trasferimenti necessari che sono ancora permessi. Alcuni esempi:
- Prenotare un albergo o un altro alloggio direttamente negli Stati Uniti o tramite un'agenzia di viaggi nell'UE (ad es. una stanza a San Francisco);
- Prenotare un volo per gli Stati Uniti;
- Noleggiare un'auto negli Stati Uniti;
- Ordinare prodotti online da una società con sede negli Stati Uniti;
- Utilizzo di servizi online forniti da una società con sede negli Stati Uniti (senza stabilimento nell'UE);
- Invio un'e-mail agli Stati Uniti;
- Invio dei vostri dati al vostro avvocato negli Stati Uniti nell'ambito di una causa legale;
- Contattare un amico su Facebook che si trova negli Stati Uniti;
- Videochiamate negli Stati Uniti.