Alfredo Sanfelice – Consulente privacy e antiriciclaggio, DPO
Il Comitato ha, innanzitutto, creato una task force incaricata di esaminare i reclami presentati a seguito della sentenza della CGUE.
Come emerge dal comunicato dell’EDPB, sono stati, infatti, presentati complessivamente 101 reclami identici alle autorità per la protezione dei dati del SEE nei confronti di diversi titolari del trattamento negli Stati membri del SEE, in merito al loro utilizzo di servizi di Google/Facebook che comportano il trasferimento di dati personali.
In particolare, i reclamanti, rappresentati dall’ONG NOYB, sostengono che Google/Facebook trasferiscano dati personali negli Stati Uniti basandosi sullo scudo UE-USA per la privacy (Privacy Shield) o sulle clausole contrattuali tipo e che, alla luce della recente sentenza della CGUE nella causa C-311/18, il titolare del trattamento non sia in grado di garantire un’adeguata protezione dei dati personali dei reclamanti.
La task force ha il compito di analizzare la questione e di garantire una stretta cooperazione tra i membri del comitato.
Ricordiamo che NOYB è l’associazione no-profit istituita da Maxiliam Schrems, ovvero colui che ha avviato i vari procedimenti che hanno poi portato all’annullamento del Safe Harbour e del Privacy Shield, al fine di fondere le migliori pratiche, dei gruppi per i diritti dei consumatori, degli attivisti della privacy, degli hacker e delle iniziative tecnologiche legali, in una piattaforma europea utile a consentire la corretta applicazione della normativa UE sulla protezione dei dati (GDPR) ed a promuovere un contenzioso mirato e strategico per rafforzare il diritto alla privacy.
L’EDPB, inoltre, in aggiunta alle FAQ adottate il 23 luglio, ha creato una task force specifica con il compito di elaborare raccomandazioni per titolari e responsabili del trattamento nell’individuazione e nell’attuazione di adeguate misure supplementari finalizzate a garantire un’adeguata protezione in caso di trasferimento di dati verso paesi terzi.
In merito, Andrea Jelinek, la presidente del comitato europeo per la protezione dei dati, ha dichiarato: “Il comitato è ben consapevole del fatto che la sentenza Schrems II attribuisce ai titolari del trattamento una responsabilità importante. Oltre alla dichiarazione e alle FAQ pubblicate subito dopo la sentenza, elaboreremo raccomandazioni per supportare titolari e responsabili del trattamento nella necessaria individuazione e attuazione di adeguate misure supplementari di natura giuridica, tecnica e organizzativa al fine di soddisfare il requisito di « equivalenza sostanziale » nel trasferimento di dati personali verso paesi terzi. Tuttavia, la sentenza ha implicazioni di ampia portata e i contesti dei trasferimenti di dati verso paesi terzi sono molto diversi. Pertanto, non si può pensare a una soluzione unica e di immediata applicazione. Ciascun titolare o responsabile dovrà valutare i trattamenti svolti e i relativi trasferimenti, adottando le misure opportune.”
