Dopo l'Austria, anche l'autorità francese per la protezione dei dati, la Commission Nationale de l'Informatique et des Libertés (CNIL), ha emesso una sentenza contro Google Analytics. Il trasferimento di dati personali verso gli Stati Uniti non è attualmente sufficientemente regolamentato. In assenza di una decisione di adeguatezza per i trasferimenti verso gli Stati Uniti, il trasferimento di dati può avvenire solo se vengono fornite garanzie adeguate, in particolare per questo flusso di dati.
Secondo la CNIL, le misure adottate da Google Analytics non sono sufficienti per proteggere i dati personali dai servizi segreti statunitensi.
Il signor Schrems, austriaco e utente di Facebook, era dell'opinione, a causa delle rivelazioni di Edward Snowden all'epoca, che gli Stati Uniti non offrissero una protezione sufficiente dei suoi dati personali trasmessi dalle attività di sorveglianza delle autorità del Paese. La filiale irlandese di Facebook ha trasferito i dati personali raccolti nei Paesi dell'UE ai server negli Stati Uniti e li ha elaborati lì. Il signor Schrems ha presentato un reclamo all'autorità di vigilanza irlandese sulla base delle sue preoccupazioni, che ha respinto sulla base del "Regolamento Safe Harbour" della Commissione Europea del 26 luglio 2000. Questo conteneva una serie di principi sulla protezione dei dati personali a cui le aziende americane potevano volontariamente aderire.
La Corte di Giustizia Europea (CGE) ha dichiarato invalida la "regola del porto sicuro" nella sentenza Schrems - I. Si applica solo alle aziende americane, ma non alle autorità degli Stati Uniti. I requisiti di sicurezza nazionale, l'interesse pubblico e l'attuazione delle leggi degli Stati Uniti hanno la precedenza sulla regola dell'approdo sicuro. Le autorità statunitensi possono accedere ai dati personali e trattarli in modo incompatibile con le finalità del loro trasferimento. Inoltre, sarebbe impossibile per le persone interessate accedere ai propri dati trasferiti, cioè mettere in dubbio la legittimità del trattamento legittimo o ottenerne la cancellazione.
La Corte di giustizia europea invalida la decisione 2016/1250 della Commissione europea sullo Scudo per la privacy del 12 luglio 2016.
L'accesso da parte delle autorità statunitensi ai dati personali trasferiti dall'UE non è conforme ai requisiti del diritto dell'Unione, in quanto i programmi di sorveglianza basati sul diritto statunitense non sono limitati allo stretto necessario. L'accesso non è equivalente al principio di proporzionalità applicabile nell'Unione.
Inoltre, secondo la sentenza della Corte di Giustizia europea, il meccanismo del difensore civico previsto dal Privacy Shield non offre agli interessati le possibilità previste dal diritto dell'Unione, ossia l'indipendenza del difensore civico e il suo potere di emettere decisioni vincolanti nei confronti dei servizi segreti statunitensi.
Molte aziende nell'UE utilizzano software di fornitori statunitensi. Le decisioni riguardano quei software che elaborano dati personali. Raccomandiamo di mantenere la calma e di aspettare di vedere quali accordi verranno raggiunti al riguardo.
DISS-CO® è un'azienda innovativa di tecnologia legale con una forte attenzione alla sostenibilità, al rischio e alla conformità.
