Approvato il Privacy Shield: ora più semplice il trasferimento transfrontaliero di dati

Ci siamo: il Garante per la Privacy ha autorizzato, con provvedimento pubblicato in Gazzetta Ufficiale il 22 novembre, il trasferimento dei dati personali dal territorio dello Stato Italiano verso le organizzazioni presenti negli Stati Uniti aderenti al cosiddetto “Privacy Shield”.

Il Privacy Shield, letteralmente “scudo per la privacy”, è un accordo siglato tra Unione Europea e Stati Uniti d’America, volto a garantire un livello adeguato di protezione dei dati personali trasferiti dal territorio UE a organizzazioni aventi sede negli USA, che si autocertificano nel sistema. Con la Decisione n. 1250 del 12 luglio 2016, la Commissione Europea formalizzava il giudizio di adeguatezza dell’intesa raggiunta con gli Stati Uniti sul nuovo regime giuridico posto a presidio dello scambio di dati, destinato a sostituire il “Safe Harbor”[1].

È il caso di ricordare, infatti, che per effetto della sentenza della Corte di Giustizia nella causa Schrems (n. C-362/14 del 6 ottobre 2015), era venuto meno il presupposto di legittimità dei trasferimenti transfrontalieri di dati personali verso le organizzazioni statunitensi aderenti a tale regime, poiché non poteva ritenersi automaticamente adeguato il livello di protezione assicurato negli USA[2].

Di fatto, dunque, l’ordinamento europeo è rimasto privo di un riferimento normativo generale, che sancisse in ogni caso la legittimità del trasferimento dei dati oltreoceano, fino alla definizione delle nuove intese internazionali cristallizzate nello “Scudo”. Mancava l’ultimo tassello, ed eccolo arrivato: il provvedimento del Garante, appena approdato in Gazzetta, autorizza l’applicazione in Italia della Decisione adottata dalla Commissione nel luglio scorso[3].

Non che, nel frattempo, i trasferimenti dei dati oggetto di trattamento verso gli Stati Uniti fossero stati interdetti (ipotesi che, peraltro, non sarebbe stata seriamente praticabile). Nondimeno, la caducazione dell’autorizzazione di riconoscimento dell’accordo sul Safe Harbor, deliberata dal Garante il 22 ottobre 2015, aveva comportato il divieto[4] di trasferire dati personali verso gli Stati Uniti d’America sulla base di tale delibera. In pratica, l’esportazione di dati, anche temporanea, al di fuori del territorio dell’Unione europea, poteva ritenersi legittima solo nelle ipotesi tassative previste dagli artt. 43 e 44 del Codice Privacy (come, ad esempio, in presenza di consenso espresso dell’interessato, o facendo leva sulle clausole contrattuali standard o sulle regole di condotta adottate all’interno di un medesimo gruppo).

Certo è che, in mancanza di un regime transitorio valido per tutti i Paesi dell’Unione, le operazioni di trasferimento restavano vincolate a più onerosi parametri di liceità, ferma restando, in ogni momento, la soggezione ai poteri di controllo del Garante. Senza contare che, come precisato pure dal Gruppo Art. 29, i cd. trasferimenti in deroga non offrono alcuna protezione contro l’accesso ai dati da parte dell’autorità pubblica per ragioni di sicurezza nazionale.

Ora, invece, con l’autorizzazione del transito di dati fra UE e USA in base Privacy Shield si realizza, finalmente, la quadratura del cerchio. Non solo a vantaggio dei soggetti esportatori che, smarcati dai lacci e lacciuoli della normativa nazionale, potranno gestire i flussi intercontinentali di dati all’interno di un regime normativo solido e generalizzato, ma anche (e prima di tutto) delle persone fisiche interessate, a cui afferiscono i dati oggetto di trasferimento: il Privacy Shield, infatti, garantisce un livello di protezione nel trasferimento dei dati degli interessati europei agli operatori certificati statunitensi più elevato rispetto a quello precedentemente assicurato dal Safe Harbor, rafforzato da una serie di meccanismi di ricorso contro eventuali inadempienze da parte delle imprese aderenti allo Scudo e dalla previsione di impegni vincolanti in capo al Dipartimento del Commercio statunitense, che si traducono nella vigilanza sulla corretta applicazione dell’accordo e nell’irrogazione di misure sanzionatorie nei confronti dei trasgressori.

Titolari e Responsabili del trattamento dei dati personali hanno, in definitiva, ottime ragioni per festeggiare. E con loro, i singoli interessati, che affidano la propria identità al modo in cui vengono trattate, collegate e fatte circolare le informazioni in cui essa si sostanzia.

[1] Il “Safe Harbor” (“Approdo sicuro”) costituiva il regime giuridico, sempre di origine convenzionale, dei trasferimenti di dati personali dal territorio dell’Unione Europea verso organizzazioni aventi sede negli Stati Uniti, divenuto inapplicabile in seguito all’emanazione della sentenza della Corte di Giustizia dell’Unione Europea C-362/14 nella causa Schrems, del 6 ottobre 2015.

[2] Con la sentenza citata, la Corte europea dichiarava l’invalidità della decisione della Commissione europea del 26 luglio 2000 n. 2000/520/CE, che aveva ritenuto adeguato il livello di protezione dei dati personali garantito dagli Stati Uniti d’America nel contesto del regime di “Safe Harbor“.

[3] L’art. 44, comma 1, lett. b) del D.Lgs. 196/2003 (Codice Privacy) subordina il trasferimento di dati personali verso un Paese non appartenente all’Unione Europea all’autorizzazione del Garante, sulla base delle valutazioni svolte dalla Commissione in merito all’adeguatezza delle garanzie per i diritti dell’interessato offerte dallo Stato di destinazione, in conformità al diritto dell’Unione.

[4] Ai sensi degli artt. 154, comma 1, lett. d) e 45 del Codice Privacy.

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

Approvato il Privacy Shield: ora più semplice il trasferimento transfrontaliero di dati

I giovedì dell’AI. Intelligenza artificiale e professione forense – Ciclo di seminari

Privacy Symposium 2026

AI e Commercialisti. Responsabilità, Etica e Futuro

Lo ho-BIT – Andata e Ritorno

Newsletter

NAVIGA

Lecce

Milano

Roma

Biella

Castellammare di Stabia

Lecco