INFORMATIVA SUL TRATTAMENTO DATI
Cosa è
Il regolamento europeo prevede che, in base alla finalità del trattamento, il titolare debba fornire agli interessati, prima del trattamento, le informazioni richieste dalle norme (art. 13 GDPR). ciò avviene tramite l’informativa. L’informativa è una comunicazione rivolta all’interessato che ha lo scopo di informarlo, anche prima che diventi interessato (ossia prima che inizi il trattamento), sulle finalità e le modalità dei trattamenti operati dal titolare del trattamento. Essa è condizione del trattamento in quanto è dovere del titolare di assicurare trasparenza e correttezza dei trattamenti fin dalla fase di progettazione degli stessi ed è dovere del titolare essere in grado di comprovare tale correttezza in qualsiasi momento (principio di responsabilizzazione).
Quando è dovuta
L’informativa è dovuta ogni qual volta vi sia un trattamento di dati. L’obbligo di informare gli interessati va adempiuto prima o al massimo al momento di dare avvio alla raccolta dei dati. Non sussiste, invece, obbligo di fornire l’informativa se il trattamento riguarda dati anonimi (es. aggregati) o dati di enti o persone giuridiche (i cui dati non sono soggetti alla tutela prevista dal Regolamento Europeo).
La Corte di Giustizia dell’Unione Europea ha dichiarato invalida, con una storica sentenza datata 16 Luglio 2020, la Decisione n. 2016/1250 della Commissione Europea sull’adeguatezza della protezione offerta dal regime dello Scudo UE-USA per la privacy. In aggiunta, la Corte ha comunque giudicato valida la Decisione n. 2010/87 relativa alle Clausole Contrattuali Tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi. Cosa implica questo per il tuo programma privacy? Clausole Contrattuali Tipo – Standard Contractual Clauses (‘SCCs’) La Corte dichiara che, dall’esame della Decisione n. 2010/87, ed alla luce della Carta dei diritti fondamentali dell’Unione Europea, le Clausole Contrattuali Tipo mantengono la loro validità. La Corte precisa che il livello di protezione richiesto nell’ambito di un trasferimento fuori dall’EU deve sostanzialmente equivalere a quello garantito all’interno dell’UE dal GDPR. Nello specifico, la valutazione di tale livello di protezione deve prendere in considerazione: ciò che è stabilito contrattualmente tra l’esportatore dei dati stabilito nell’UE e il destinatario del trasferimento stabilito nel paese terzo per quel che riguarda un eventuale accesso da parte delle pubbliche autorità del paese terzo ai dati trasferiti, gli elementi del sistema giuridico del paese terzo. In aggiunta, la Corte stabilisce che i Garanti europei devono sospendere o vietare un trasferimento di dati personali verso un paese terzo quando ritengono che: le Clausole Contrattuali Tipo non siano o non possano essere rispettate nel paese terzo; e la protezione dei dati trasferiti, richiesta dal diritto dell’UE, non possa essere garantita in altro modo. In conclusione, la Corte ritiene che le Clausole Contrattuali Tipo consentano, in pratica, di garantire che sia rispettato il livello di protezione richiesto dal diritto dell’UE, e che i trasferimenti di dati personali, basati su queste clausole, siano sospesi o vietati quando le clausole vengano violate o quando sia impossibile rispettarle. Scudo UE-USA per la privacy – EU-US Privacy Shield La Corte, come anticipato, ha dichiarato invalida la decisione della Commissione Europea sull’adeguatezza della protezione offerta dallo Scudo UE-USA per la privacy, dopo una valutazione alla luce del GDPR.
Nello specifico, la Corte stabilisce che la normative degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autorità statunitensi, di dati provenienti dall’UE, presenta delle limitazioni che non rispettano gli standard di adeguatezza richiesti dal diritto dell’UE, alla luce del principio di proporzionalità. La Corte ritiene infatti che i programmi di sorveglianza fondati sulla normativa USA non si limitino a quanto strettamente necessario. Infine, la Corte giudica il meccanismo di mediazione previsto dallo scudo UE-USA per la privacy non sufficiente dal punto di vista delle garanzie offerte. Infatti, la sentenza stabilisce che il meccanismo non fornisce ai soggetti interessati un mezzo di ricorso ad un organo che offra garanzie equivalenti a quelle previste del diritto dell’UE dal punto di vista dell’indipendenza e del valore vincolante delle decisioni dell’organo mediatore nei confronti dei servizi di intelligence statunitensi.
Per tutte queste ragioni la Corte dichiara invalida la decisione 2016/1250.
A seguito dell’adozione da parte della Commissione europea del EU-US Data Privacy Framework che stabilisce che gli Stati Uniti garantiscono un livello di protezione adeguato - comparabile a quello dell'Unione europea - per i dati personali trasferiti dall'UE alle imprese statunitensi, i dati personali potranno così circolare in modo sicuro dall'UE verso le imprese statunitensi certificate, senza la necessità di ulteriori garanzie per la protezione dei dati.Con il EU-US Data Privacy Framework viene finalmente ristabilita la certezza del diritto e le scuole, come le aziende e gli altri enti pubblici, possono finalmente utilizzare le soluzioni delle aziende statunitensi certificate (fra queste ovviamente anche Microsoft e Google) senza doversi appellare a basi legali incerte.
Di tale novità ha preso atto anche Google che il 14 agosto 2023 ha aggiornato l’Addendum per il trattamento dei dati Cloud (ATDC) e i Termini di servizio specifici per Google Workspace.
LA SCUOLA A PROVA DI PRIVACY VADEMECUM 2023
INFORMATIVA TRATTAMENTO DATI FORNITORI E PATTO DI INTEGRITA'
