SlideShare une entreprise Scribd logo

Come valutare l'adeguatezza dei trasferimenti di dati extra SEE dopo la sentenza Schrems II

Giulio Coraggio
Giulio Coraggio

La sentenza della Corte di Giustizia dell'UE relativa alla controversi c.d. Schrems II sul trasferimento dei dati al di fuori dello Spazio economico europeo obbliga le aziende a valutare l'adeguatezza dei trasferimenti. In questo webinar abbiamo presentato la metodologia sviluppata da DLA Piper di valutazione del trasferimento dei dati verso gli Stati Uniti d'America e altri paesi che non presentano un livello adeguato di tutela dei dati personali.

Droit
1  sur  9
DLA Piper – 10 settembre 2020 Come valutare l'adeguatezza dei trasferimenti di dati extra SEE dopo la sentenza Schrems II
www.dlapiper.com 2 Gli argomenti che tratteremo 1. Il caso Schrems: come la vicenda è arrivata alla CGUE 2. La sentenza della CGUE 3. Gli impatti sui meccanismi per il trasferimento previsti dal GDPR 4. La reazione delle istutizioni e delle autorità di controllo 5. Implicazioni pratiche per i data exporter 6. La metodologia sviluppata da DLA Piper 7. Q&A Giulio Coraggio Partner Head of Technology Sector Giulia Zappaterra Senior Lawyer Cristina Criscuoli Lawyer Tommaso Ricci Privacy Expert DLA Piper Legal Tech Focus Group Member
www.dlapiper.com 3 Il caso Schrems: come la vicenda è arrivata alla CGUE • 2013 – Reclamo di Max Schrems contro Facebook sottoposto a indagine da parte del Data Protection Commissioner irlandese > Il reclamo viene rigettato > Schrems si rivolge alla Irish High Court che rinvia alla CGUE • 2015 – La CGUE dichiara invalido il “Safe Harbor” con la sentenza Schrems I • Maggio 2016 – secondo reclamo di Schrems relativo all’uso delle SCCs da parte di Facebook, il DPC rimette la questione alla High Court • Luglio 2016 – La Commissione UE adotta la decisione di adeguatezza relativa al Privacy Shield • Maggio 2018 – La High Court rinvia il caso alla CGEU, incluse 11 questioni pregiudiziali, tra cui la validità del Privacy Shield
www.dlapiper.com 4 La sentenza Schrems II: cosa ha deciso la CGUE EU-U.S. Privacy Shield – dichiarato invalido • Gli Stati Uniti non hanno alcuna garanzia di equivalenza della protezione rispetto all'UE: • Accesso ai dati personali da parte delle autorità e organismi di sorveglianza americane • L’Ombudsperson non fornisce le garanzie adeguate Standard Contractual Clauses adottate dalla Commissione (SCCs) – valide, ma… • Spetta all'esportatore e all'importatore di dati valutare se il livello di protezione richiesto dal diritto dell'UE sia rispettato nel paese terzo in questione al fine di determinare se le garanzie fornite dalle SCC possano essere rispettate nella pratica • CGUE richiama il test di adeguatezza di cui all'Art.45(2) del GDPR (applicato dalla Commissione Europea) Requisiti per l'intervento dell'autorità di controllo • La CGUE vede un ruolo attivo per le autorità di controllo nel monitoraggio della conformità • Se non sono state eseguite le opportune valutazioni e possibilmente in modo proattivo
www.dlapiper.com 5 Gli impatti sugli altri meccanismi per il trasferimento previsti dal GDPR Impatto potenziale sulle BCRs • La sentenza identifica le BCR come una garanzia adeguata • Alcuni fornitori di servizi utilizzano già questo meccanismo per fornire la loro soluzione cloud (BCR per i responsbili esterni) • Tuttavia, le BCR non possono essere una soluzione a breve termine, in quanto possono essere utilizzate solo per i trasferimenti intragruppo ed il processo per l'adozione è piuttosto lungo È possible fare affidamento sulle deroghe previste dall’art. 49? • Esistono diverse deroghe: consenso, esecuzione del contratto, conclusione ed esecuzione di un contratto nell'interesse della persona interessata, interesse pubblico, esercizio o difesa di un diritto legale, tutela dell'interesse vitale della persona interessata, registro destinato a fornire informazioni al pubblico • Alcune sono anche menzionate dalla sentenza come applicabile per situazioni specifiche, tuttavia ci sono condizioni piuttosto restrittive per la loro applicazione Codici di condotta e certificazioni • Previsti dall’ Art. 46-2 (e) ed (f) del GDPR • Potrebbero essere una soluzione in futuro, ma per ora non esistono codici di condotta o meccanismi di certificazione formalmente approvati
www.dlapiper.com 6 La reazione delle istituzioni e delle autorità di controllo La sentenza ha suscitato reazioni immediate da parte delle varie Autorità di controllo europee, che hanno pubblicato dichiarazioni o fornito indicazioni Probabilità di applicazione per i trasferimenti in corso o tolleranza momentanea? Rischio di contenzioso e reclami, incluse class actions Possibili impatti sulle SCCs e prossimi passi
www.dlapiper.com 7 Identificare i trasferimenti impattati identificare tutti i trasferimenti di dati extra-SEE, il paese di destinazione e la base giuridica alternativa per il trasferimento in base al Capo V del GDPR Privacy Shield • Cessare di fare riferimento al Privacy Shield quale meccanismo per il trasferimento • Adottare meccanismi alternativi (es. SCCs) • Considerare la possibilità di archiviare/accedere ai dati personali all'interno dell'UE Implementare modifiche della governance • Aggiornare il registro dei trattamenti, le informative, ecc.. • Adottare meccanismi di trasferimento differenti / misure di garanzia supplementari • Prevedere un meccanismo di valutazione dell’adeguatezza nel ciclo del procurement SCCs & altri meccanismi per il trasferimento di cui al Capo V • verificare caso per caso se le leggi applicabili nel paese di destinazione garantiscono una protezione adeguata • Seguire i principi dell’ Art 45(2) per l’ assessment • Tenere conto dei rischi specifici per il trasferimento dei dati • coordinarsi con i data importer (ad esempio i fornitori di servizi cloud) per la loro valutazione • valutare se ulteriori contromisure possono contribuire a mitigare i rischi • documentare la decisione finale (procedere/rifiutare) • Controllare le line guida e le indicazioni da parte delle DPA e dell’EDPB Implicazioni pratiche per i data exporter
www.dlapiper.com 8 La metodologia di DLA Piper per valutare i trasferimenti di dati extra SEE
UKG/98428074 9 Domande? Giulio Coraggio Partner Head of Technology Sector Giulia Zappaterra Senior Lawyer Cristina Criscuoli Lawyer Tommaso Ricci Privacy Expert DLA Piper Legal Tech Focus Group Member

Recommandé

Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCC
Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCCTrasferimento dei dati extra SEE dopo Schrems II e le nuove SCC
Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCCGiulio Coraggio
 
Come gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareCome gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareGiulio Coraggio
 
I controlli sui dipendenti durante l'emergenza covid-19
I controlli sui dipendenti durante l'emergenza covid-19 I controlli sui dipendenti durante l'emergenza covid-19
I controlli sui dipendenti durante l'emergenza covid-19 Giulio Coraggio
 
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPBMarketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPBGiulio Coraggio
 
Come gestire le problematiche privacy dell'emergenza Covid-19 in Italia
Come gestire le problematiche privacy dell'emergenza Covid-19 in ItaliaCome gestire le problematiche privacy dell'emergenza Covid-19 in Italia
Come gestire le problematiche privacy dell'emergenza Covid-19 in ItaliaGiulio Coraggio
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPREuroPrivacy
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaM2 Informatica
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 

Recommandé

Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCC
Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCCTrasferimento dei dati extra SEE dopo Schrems II e le nuove SCC
Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCCGiulio Coraggio
 
Come gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareCome gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareGiulio Coraggio
 
I controlli sui dipendenti durante l'emergenza covid-19
I controlli sui dipendenti durante l'emergenza covid-19 I controlli sui dipendenti durante l'emergenza covid-19
I controlli sui dipendenti durante l'emergenza covid-19 Giulio Coraggio
 
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPBMarketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPBGiulio Coraggio
 
Come gestire le problematiche privacy dell'emergenza Covid-19 in Italia
Come gestire le problematiche privacy dell'emergenza Covid-19 in ItaliaCome gestire le problematiche privacy dell'emergenza Covid-19 in Italia
Come gestire le problematiche privacy dell'emergenza Covid-19 in ItaliaGiulio Coraggio
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPREuroPrivacy
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaM2 Informatica
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informaticaM2 Informatica
 
GDPR, il nuovo regolamento Privacy Europeo
GDPR, il nuovo regolamento Privacy EuropeoGDPR, il nuovo regolamento Privacy Europeo
GDPR, il nuovo regolamento Privacy EuropeoM2 Informatica
 
GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro M2 Informatica
 
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Giulio Coraggio
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptCentoCinquanta srl
 
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...Barbieri & Associati Dottori Commercialisti - Bologna
 
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...Barbieri & Associati Dottori Commercialisti - Bologna
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...Alessio Farina
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskM2 Informatica
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
 
La gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL ServerLa gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL ServerCristiano Gasparotto
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
 
Evento SMAU - DATA BREACH
Evento SMAU - DATA BREACHEvento SMAU - DATA BREACH
Evento SMAU - DATA BREACHSWASCAN
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIRoberto Lorenzetti
 
Cloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacyCloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacyPolaris informatica
 
Smau Bologna 2014 - L’uso del cloud e la tutela della privacy
Smau Bologna 2014 - L’uso del cloud e la tutela della privacySmau Bologna 2014 - L’uso del cloud e la tutela della privacy
Smau Bologna 2014 - L’uso del cloud e la tutela della privacySMAU
 
Smau Bologna 2011 Juri Monducci
Smau Bologna 2011 Juri MonducciSmau Bologna 2011 Juri Monducci
Smau Bologna 2011 Juri MonducciSMAU
 
Smau Bologna 2011 Juri Monducci
Smau Bologna 2011 Juri MonducciSmau Bologna 2011 Juri Monducci
Smau Bologna 2011 Juri MonducciSMAU
 
Simone Bonavita - Contrattualistica e privacy nel cloud computer
Simone Bonavita - Contrattualistica e privacy nel cloud computerSimone Bonavita - Contrattualistica e privacy nel cloud computer
Simone Bonavita - Contrattualistica e privacy nel cloud computerSimone Bonavita
 
Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...
Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...
Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...Giorgio Spedicato
 

Contenu connexe

Tendances

ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informaticaM2 Informatica
 
GDPR, il nuovo regolamento Privacy Europeo
GDPR, il nuovo regolamento Privacy EuropeoGDPR, il nuovo regolamento Privacy Europeo
GDPR, il nuovo regolamento Privacy EuropeoM2 Informatica
 
GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro M2 Informatica
 
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Giulio Coraggio
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptCentoCinquanta srl
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...Alessio Farina
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskM2 Informatica
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
 
La gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL ServerLa gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL ServerCristiano Gasparotto
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
 
Evento SMAU - DATA BREACH
Evento SMAU - DATA BREACHEvento SMAU - DATA BREACH
Evento SMAU - DATA BREACHSWASCAN
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIRoberto Lorenzetti
 

Tendances (16)

ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informatica
 
GDPR, il nuovo regolamento Privacy Europeo
GDPR, il nuovo regolamento Privacy EuropeoGDPR, il nuovo regolamento Privacy Europeo
GDPR, il nuovo regolamento Privacy Europeo
 
GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro
 
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy pt
 
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...
 
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber risk
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
 
La gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL ServerLa gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL Server
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
 
Evento SMAU - DATA BREACH
Evento SMAU - DATA BREACHEvento SMAU - DATA BREACH
Evento SMAU - DATA BREACH
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMI
 

Similaire à Come valutare l'adeguatezza dei trasferimenti di dati extra SEE dopo la sentenza Schrems II

Cloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacyCloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacyPolaris informatica
 
Smau Bologna 2014 - L’uso del cloud e la tutela della privacy
Smau Bologna 2014 - L’uso del cloud e la tutela della privacySmau Bologna 2014 - L’uso del cloud e la tutela della privacy
Smau Bologna 2014 - L’uso del cloud e la tutela della privacySMAU
 
Smau Bologna 2011 Juri Monducci
Smau Bologna 2011 Juri MonducciSmau Bologna 2011 Juri Monducci
Smau Bologna 2011 Juri MonducciSMAU
 
Smau Bologna 2011 Juri Monducci
Smau Bologna 2011 Juri MonducciSmau Bologna 2011 Juri Monducci
Smau Bologna 2011 Juri MonducciSMAU
 
Simone Bonavita - Contrattualistica e privacy nel cloud computer
Simone Bonavita - Contrattualistica e privacy nel cloud computerSimone Bonavita - Contrattualistica e privacy nel cloud computer
Simone Bonavita - Contrattualistica e privacy nel cloud computerSimone Bonavita
 
Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...
Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...
Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...Giorgio Spedicato
 
Attualità e prospettive dell'economia digitale: la direttiva cd. "DAC-8"
Attualità e prospettive dell'economia digitale: la direttiva cd. "DAC-8"Attualità e prospettive dell'economia digitale: la direttiva cd. "DAC-8"
Attualità e prospettive dell'economia digitale: la direttiva cd. "DAC-8"University of Ferrara
 
Smau Padova 2015 - Aipsi
Smau Padova 2015 - AipsiSmau Padova 2015 - Aipsi
Smau Padova 2015 - AipsiSMAU
 
Smau Padova 2016 - DirICTo
Smau Padova 2016 - DirICToSmau Padova 2016 - DirICTo
Smau Padova 2016 - DirICToSMAU
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoM2 Informatica
 
La lunga corsa del GDPR è vicina al termine - Are you ready?
La lunga corsa del GDPR è vicina al termine - Are you ready?La lunga corsa del GDPR è vicina al termine - Are you ready?
La lunga corsa del GDPR è vicina al termine - Are you ready?Giulio Coraggio
 
Workshop privacy parte_1_10-03-2016m
Workshop privacy parte_1_10-03-2016mWorkshop privacy parte_1_10-03-2016m
Workshop privacy parte_1_10-03-2016mArmando Iovino
 
X Conferenza Nazionale DM: Il ruolo degli organismi notificati
X Conferenza Nazionale DM: Il ruolo degli organismi notificatiX Conferenza Nazionale DM: Il ruolo degli organismi notificati
X Conferenza Nazionale DM: Il ruolo degli organismi notificatiVincenza Ricciardi
 
Smau Milano 2015 - Marco Parretti
Smau Milano 2015 - Marco ParrettiSmau Milano 2015 - Marco Parretti
Smau Milano 2015 - Marco ParrettiSMAU
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018M2 Informatica
 
P. Vecchi - Privacy ed i giganti del web
P. Vecchi - Privacy ed i giganti del webP. Vecchi - Privacy ed i giganti del web
P. Vecchi - Privacy ed i giganti del webLibreItalia
 
SULAKE ITALIA - NCTM La condivisione dei dati personali e la responsabilità d...
SULAKE ITALIA - NCTM La condivisione dei dati personali e la responsabilità d...SULAKE ITALIA - NCTM La condivisione dei dati personali e la responsabilità d...
SULAKE ITALIA - NCTM La condivisione dei dati personali e la responsabilità d...Sulake Italia Srl
 

Similaire à Come valutare l'adeguatezza dei trasferimenti di dati extra SEE dopo la sentenza Schrems II (20)

Cloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacyCloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacy
 
Smau Bologna 2014 - L’uso del cloud e la tutela della privacy
Smau Bologna 2014 - L’uso del cloud e la tutela della privacySmau Bologna 2014 - L’uso del cloud e la tutela della privacy
Smau Bologna 2014 - L’uso del cloud e la tutela della privacy
 
Smau Bologna 2011 Juri Monducci
Smau Bologna 2011 Juri MonducciSmau Bologna 2011 Juri Monducci
Smau Bologna 2011 Juri Monducci
 
Smau Bologna 2011 Juri Monducci
Smau Bologna 2011 Juri MonducciSmau Bologna 2011 Juri Monducci
Smau Bologna 2011 Juri Monducci
 
Simone Bonavita - Contrattualistica e privacy nel cloud computer
Simone Bonavita - Contrattualistica e privacy nel cloud computerSimone Bonavita - Contrattualistica e privacy nel cloud computer
Simone Bonavita - Contrattualistica e privacy nel cloud computer
 
Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...
Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...
Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...
 
Attualità e prospettive dell'economia digitale: la direttiva cd. "DAC-8"
Attualità e prospettive dell'economia digitale: la direttiva cd. "DAC-8"Attualità e prospettive dell'economia digitale: la direttiva cd. "DAC-8"
Attualità e prospettive dell'economia digitale: la direttiva cd. "DAC-8"
 
Smau Padova 2015 - Aipsi
Smau Padova 2015 - AipsiSmau Padova 2015 - Aipsi
Smau Padova 2015 - Aipsi
 
Smau Padova 2016 - DirICTo
Smau Padova 2016 - DirICToSmau Padova 2016 - DirICTo
Smau Padova 2016 - DirICTo
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy Europeo
 
La lunga corsa del GDPR è vicina al termine - Are you ready?
La lunga corsa del GDPR è vicina al termine - Are you ready?La lunga corsa del GDPR è vicina al termine - Are you ready?
La lunga corsa del GDPR è vicina al termine - Are you ready?
 
Analisi delle aree aziendali sensibili al rischio privacy
Analisi delle aree aziendali sensibili al rischio privacyAnalisi delle aree aziendali sensibili al rischio privacy
Analisi delle aree aziendali sensibili al rischio privacy
 
Workshop privacy parte_1_10-03-2016m
Workshop privacy parte_1_10-03-2016mWorkshop privacy parte_1_10-03-2016m
Workshop privacy parte_1_10-03-2016m
 
Nota gruppo europa nl n.8
Nota gruppo europa nl n.8Nota gruppo europa nl n.8
Nota gruppo europa nl n.8
 
X Conferenza Nazionale DM: Il ruolo degli organismi notificati
X Conferenza Nazionale DM: Il ruolo degli organismi notificatiX Conferenza Nazionale DM: Il ruolo degli organismi notificati
X Conferenza Nazionale DM: Il ruolo degli organismi notificati
 
Smau Milano 2015 - Marco Parretti
Smau Milano 2015 - Marco ParrettiSmau Milano 2015 - Marco Parretti
Smau Milano 2015 - Marco Parretti
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
 
P. Vecchi - Privacy ed i giganti del web
P. Vecchi - Privacy ed i giganti del webP. Vecchi - Privacy ed i giganti del web
P. Vecchi - Privacy ed i giganti del web
 
SULAKE ITALIA - NCTM La condivisione dei dati personali e la responsabilità d...
SULAKE ITALIA - NCTM La condivisione dei dati personali e la responsabilità d...SULAKE ITALIA - NCTM La condivisione dei dati personali e la responsabilità d...
SULAKE ITALIA - NCTM La condivisione dei dati personali e la responsabilità d...
 
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
 

Plus de Giulio Coraggio

Come conformarsi al Regolamento DORA sulla cybersecurity
Come conformarsi al Regolamento DORA sulla cybersecurityCome conformarsi al Regolamento DORA sulla cybersecurity
Come conformarsi al Regolamento DORA sulla cybersecurityGiulio Coraggio
 
Infografica sulle 5 regole privacy per i programmi di fidelizzazione
Infografica sulle 5 regole privacy per i programmi di fidelizzazioneInfografica sulle 5 regole privacy per i programmi di fidelizzazione
Infografica sulle 5 regole privacy per i programmi di fidelizzazioneGiulio Coraggio
 
Direttiva NIS2 - Nuovi obblighi legali di cybersecurity
Direttiva NIS2 - Nuovi obblighi legali di cybersecurityDirettiva NIS2 - Nuovi obblighi legali di cybersecurity
Direttiva NIS2 - Nuovi obblighi legali di cybersecurityGiulio Coraggio
 
Decreti di adeguamento ai regolamenti MDR e IVDR
Decreti di adeguamento ai regolamenti MDR e IVDRDecreti di adeguamento ai regolamenti MDR e IVDR
Decreti di adeguamento ai regolamenti MDR e IVDRGiulio Coraggio
 
Nuove normativa sulla accessibilità applicabili a qualsiasi sito web
Nuove normativa sulla accessibilità applicabili a qualsiasi sito webNuove normativa sulla accessibilità applicabili a qualsiasi sito web
Nuove normativa sulla accessibilità applicabili a qualsiasi sito webGiulio Coraggio
 
New Italian rules on accessibility of websites
New Italian rules on accessibility of websitesNew Italian rules on accessibility of websites
New Italian rules on accessibility of websitesGiulio Coraggio
 
Un altro anno di GDPR: analizziamolo sulla base del survey del IPTT per il 2022
Un altro anno di GDPR: analizziamolo sulla base del survey del IPTT per il 2022Un altro anno di GDPR: analizziamolo sulla base del survey del IPTT per il 2022
Un altro anno di GDPR: analizziamolo sulla base del survey del IPTT per il 2022Giulio Coraggio
 
DOP, Marchi Collettivi e Marchi Storici: forme di tutela delle eccellenze
DOP, Marchi Collettivi e Marchi Storici: forme di tutela delle eccellenzeDOP, Marchi Collettivi e Marchi Storici: forme di tutela delle eccellenze
DOP, Marchi Collettivi e Marchi Storici: forme di tutela delle eccellenzeGiulio Coraggio
 
Good practices and common pitfalls on advertising of medical devices in Italy
Good practices and common pitfalls on advertising of medical devices in ItalyGood practices and common pitfalls on advertising of medical devices in Italy
Good practices and common pitfalls on advertising of medical devices in ItalyGiulio Coraggio
 
Le modifiche del Codice del Consumo, come impattano sulle aziende
Le modifiche del Codice del Consumo, come impattano sulle aziendeLe modifiche del Codice del Consumo, come impattano sulle aziende
Le modifiche del Codice del Consumo, come impattano sulle aziendeGiulio Coraggio
 
Good practices and common pitfalls on advertising of tobacco products in Italy
Good practices and common pitfalls on advertising of tobacco products in ItalyGood practices and common pitfalls on advertising of tobacco products in Italy
Good practices and common pitfalls on advertising of tobacco products in ItalyGiulio Coraggio
 
Good practices and common pitfalls on advertising of alcoholic products in Italy
Good practices and common pitfalls on advertising of alcoholic products in ItalyGood practices and common pitfalls on advertising of alcoholic products in Italy
Good practices and common pitfalls on advertising of alcoholic products in ItalyGiulio Coraggio
 
Good practices and common pitfalls on advertising of medicines in Italy
Good practices and common pitfalls on advertising of medicines in ItalyGood practices and common pitfalls on advertising of medicines in Italy
Good practices and common pitfalls on advertising of medicines in ItalyGiulio Coraggio
 
Good practices and common pitfalls on advertising of cosmetics in Italy
Good practices and common pitfalls on advertising of cosmetics in ItalyGood practices and common pitfalls on advertising of cosmetics in Italy
Good practices and common pitfalls on advertising of cosmetics in ItalyGiulio Coraggio
 
Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...
Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...
Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...Giulio Coraggio
 
Italian Gambling Advertising Ban – Don'ts and Do's
Italian Gambling Advertising Ban – Don'ts and Do'sItalian Gambling Advertising Ban – Don'ts and Do's
Italian Gambling Advertising Ban – Don'ts and Do'sGiulio Coraggio
 
Good practices and common pitfalls on ESG advertising in Italy
Good practices and common pitfalls on ESG advertising in ItalyGood practices and common pitfalls on ESG advertising in Italy
Good practices and common pitfalls on ESG advertising in ItalyGiulio Coraggio
 
Come gestire gli obblighi privacy di un attacco ransomware
Come gestire gli obblighi privacy di un attacco ransomwareCome gestire gli obblighi privacy di un attacco ransomware
Come gestire gli obblighi privacy di un attacco ransomwareGiulio Coraggio
 
Intelligenza artificiale: le sue potenzialità, la bozza di regolamento UE e r...
Intelligenza artificiale: le sue potenzialità, la bozza di regolamento UE e r...Intelligenza artificiale: le sue potenzialità, la bozza di regolamento UE e r...
Intelligenza artificiale: le sue potenzialità, la bozza di regolamento UE e r...Giulio Coraggio
 
L'emergenza Covid-19 e i problemi privacy dei lavoratori in smart working e c...
L'emergenza Covid-19 e i problemi privacy dei lavoratori in smart working e c...L'emergenza Covid-19 e i problemi privacy dei lavoratori in smart working e c...
L'emergenza Covid-19 e i problemi privacy dei lavoratori in smart working e c...Giulio Coraggio
 

Plus de Giulio Coraggio (20)

Come conformarsi al Regolamento DORA sulla cybersecurity
Come conformarsi al Regolamento DORA sulla cybersecurityCome conformarsi al Regolamento DORA sulla cybersecurity
Come conformarsi al Regolamento DORA sulla cybersecurity
 
Infografica sulle 5 regole privacy per i programmi di fidelizzazione
Infografica sulle 5 regole privacy per i programmi di fidelizzazioneInfografica sulle 5 regole privacy per i programmi di fidelizzazione
Infografica sulle 5 regole privacy per i programmi di fidelizzazione
 
Direttiva NIS2 - Nuovi obblighi legali di cybersecurity
Direttiva NIS2 - Nuovi obblighi legali di cybersecurityDirettiva NIS2 - Nuovi obblighi legali di cybersecurity
Direttiva NIS2 - Nuovi obblighi legali di cybersecurity
 
Decreti di adeguamento ai regolamenti MDR e IVDR
Decreti di adeguamento ai regolamenti MDR e IVDRDecreti di adeguamento ai regolamenti MDR e IVDR
Decreti di adeguamento ai regolamenti MDR e IVDR
 
Nuove normativa sulla accessibilità applicabili a qualsiasi sito web
Nuove normativa sulla accessibilità applicabili a qualsiasi sito webNuove normativa sulla accessibilità applicabili a qualsiasi sito web
Nuove normativa sulla accessibilità applicabili a qualsiasi sito web
 
New Italian rules on accessibility of websites
New Italian rules on accessibility of websitesNew Italian rules on accessibility of websites
New Italian rules on accessibility of websites
 
Un altro anno di GDPR: analizziamolo sulla base del survey del IPTT per il 2022
Un altro anno di GDPR: analizziamolo sulla base del survey del IPTT per il 2022Un altro anno di GDPR: analizziamolo sulla base del survey del IPTT per il 2022
Un altro anno di GDPR: analizziamolo sulla base del survey del IPTT per il 2022
 
DOP, Marchi Collettivi e Marchi Storici: forme di tutela delle eccellenze
DOP, Marchi Collettivi e Marchi Storici: forme di tutela delle eccellenzeDOP, Marchi Collettivi e Marchi Storici: forme di tutela delle eccellenze
DOP, Marchi Collettivi e Marchi Storici: forme di tutela delle eccellenze
 
Good practices and common pitfalls on advertising of medical devices in Italy
Good practices and common pitfalls on advertising of medical devices in ItalyGood practices and common pitfalls on advertising of medical devices in Italy
Good practices and common pitfalls on advertising of medical devices in Italy
 
Le modifiche del Codice del Consumo, come impattano sulle aziende
Le modifiche del Codice del Consumo, come impattano sulle aziendeLe modifiche del Codice del Consumo, come impattano sulle aziende
Le modifiche del Codice del Consumo, come impattano sulle aziende
 
Good practices and common pitfalls on advertising of tobacco products in Italy
Good practices and common pitfalls on advertising of tobacco products in ItalyGood practices and common pitfalls on advertising of tobacco products in Italy
Good practices and common pitfalls on advertising of tobacco products in Italy
 
Good practices and common pitfalls on advertising of alcoholic products in Italy
Good practices and common pitfalls on advertising of alcoholic products in ItalyGood practices and common pitfalls on advertising of alcoholic products in Italy
Good practices and common pitfalls on advertising of alcoholic products in Italy
 
Good practices and common pitfalls on advertising of medicines in Italy
Good practices and common pitfalls on advertising of medicines in ItalyGood practices and common pitfalls on advertising of medicines in Italy
Good practices and common pitfalls on advertising of medicines in Italy
 
Good practices and common pitfalls on advertising of cosmetics in Italy
Good practices and common pitfalls on advertising of cosmetics in ItalyGood practices and common pitfalls on advertising of cosmetics in Italy
Good practices and common pitfalls on advertising of cosmetics in Italy
 
Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...
Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...
Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...
 
Italian Gambling Advertising Ban – Don'ts and Do's
Italian Gambling Advertising Ban – Don'ts and Do'sItalian Gambling Advertising Ban – Don'ts and Do's
Italian Gambling Advertising Ban – Don'ts and Do's
 
Good practices and common pitfalls on ESG advertising in Italy
Good practices and common pitfalls on ESG advertising in ItalyGood practices and common pitfalls on ESG advertising in Italy
Good practices and common pitfalls on ESG advertising in Italy
 
Come gestire gli obblighi privacy di un attacco ransomware
Come gestire gli obblighi privacy di un attacco ransomwareCome gestire gli obblighi privacy di un attacco ransomware
Come gestire gli obblighi privacy di un attacco ransomware
 
Intelligenza artificiale: le sue potenzialità, la bozza di regolamento UE e r...
Intelligenza artificiale: le sue potenzialità, la bozza di regolamento UE e r...Intelligenza artificiale: le sue potenzialità, la bozza di regolamento UE e r...
Intelligenza artificiale: le sue potenzialità, la bozza di regolamento UE e r...
 
L'emergenza Covid-19 e i problemi privacy dei lavoratori in smart working e c...
L'emergenza Covid-19 e i problemi privacy dei lavoratori in smart working e c...L'emergenza Covid-19 e i problemi privacy dei lavoratori in smart working e c...
L'emergenza Covid-19 e i problemi privacy dei lavoratori in smart working e c...
 

Come valutare l'adeguatezza dei trasferimenti di dati extra SEE dopo la sentenza Schrems II

  • 1. DLA Piper – 10 settembre 2020 Come valutare l'adeguatezza dei trasferimenti di dati extra SEE dopo la sentenza Schrems II
  • 2. www.dlapiper.com 2 Gli argomenti che tratteremo 1. Il caso Schrems: come la vicenda è arrivata alla CGUE 2. La sentenza della CGUE 3. Gli impatti sui meccanismi per il trasferimento previsti dal GDPR 4. La reazione delle istutizioni e delle autorità di controllo 5. Implicazioni pratiche per i data exporter 6. La metodologia sviluppata da DLA Piper 7. Q&A Giulio Coraggio Partner Head of Technology Sector Giulia Zappaterra Senior Lawyer Cristina Criscuoli Lawyer Tommaso Ricci Privacy Expert DLA Piper Legal Tech Focus Group Member
  • 3. www.dlapiper.com 3 Il caso Schrems: come la vicenda è arrivata alla CGUE • 2013 – Reclamo di Max Schrems contro Facebook sottoposto a indagine da parte del Data Protection Commissioner irlandese > Il reclamo viene rigettato > Schrems si rivolge alla Irish High Court che rinvia alla CGUE • 2015 – La CGUE dichiara invalido il “Safe Harbor” con la sentenza Schrems I • Maggio 2016 – secondo reclamo di Schrems relativo all’uso delle SCCs da parte di Facebook, il DPC rimette la questione alla High Court • Luglio 2016 – La Commissione UE adotta la decisione di adeguatezza relativa al Privacy Shield • Maggio 2018 – La High Court rinvia il caso alla CGEU, incluse 11 questioni pregiudiziali, tra cui la validità del Privacy Shield
  • 4. www.dlapiper.com 4 La sentenza Schrems II: cosa ha deciso la CGUE EU-U.S. Privacy Shield – dichiarato invalido • Gli Stati Uniti non hanno alcuna garanzia di equivalenza della protezione rispetto all'UE: • Accesso ai dati personali da parte delle autorità e organismi di sorveglianza americane • L’Ombudsperson non fornisce le garanzie adeguate Standard Contractual Clauses adottate dalla Commissione (SCCs) – valide, ma… • Spetta all'esportatore e all'importatore di dati valutare se il livello di protezione richiesto dal diritto dell'UE sia rispettato nel paese terzo in questione al fine di determinare se le garanzie fornite dalle SCC possano essere rispettate nella pratica • CGUE richiama il test di adeguatezza di cui all'Art.45(2) del GDPR (applicato dalla Commissione Europea) Requisiti per l'intervento dell'autorità di controllo • La CGUE vede un ruolo attivo per le autorità di controllo nel monitoraggio della conformità • Se non sono state eseguite le opportune valutazioni e possibilmente in modo proattivo
  • 5. www.dlapiper.com 5 Gli impatti sugli altri meccanismi per il trasferimento previsti dal GDPR Impatto potenziale sulle BCRs • La sentenza identifica le BCR come una garanzia adeguata • Alcuni fornitori di servizi utilizzano già questo meccanismo per fornire la loro soluzione cloud (BCR per i responsbili esterni) • Tuttavia, le BCR non possono essere una soluzione a breve termine, in quanto possono essere utilizzate solo per i trasferimenti intragruppo ed il processo per l'adozione è piuttosto lungo È possible fare affidamento sulle deroghe previste dall’art. 49? • Esistono diverse deroghe: consenso, esecuzione del contratto, conclusione ed esecuzione di un contratto nell'interesse della persona interessata, interesse pubblico, esercizio o difesa di un diritto legale, tutela dell'interesse vitale della persona interessata, registro destinato a fornire informazioni al pubblico • Alcune sono anche menzionate dalla sentenza come applicabile per situazioni specifiche, tuttavia ci sono condizioni piuttosto restrittive per la loro applicazione Codici di condotta e certificazioni • Previsti dall’ Art. 46-2 (e) ed (f) del GDPR • Potrebbero essere una soluzione in futuro, ma per ora non esistono codici di condotta o meccanismi di certificazione formalmente approvati
  • 6. www.dlapiper.com 6 La reazione delle istituzioni e delle autorità di controllo La sentenza ha suscitato reazioni immediate da parte delle varie Autorità di controllo europee, che hanno pubblicato dichiarazioni o fornito indicazioni Probabilità di applicazione per i trasferimenti in corso o tolleranza momentanea? Rischio di contenzioso e reclami, incluse class actions Possibili impatti sulle SCCs e prossimi passi
  • 7. www.dlapiper.com 7 Identificare i trasferimenti impattati identificare tutti i trasferimenti di dati extra-SEE, il paese di destinazione e la base giuridica alternativa per il trasferimento in base al Capo V del GDPR Privacy Shield • Cessare di fare riferimento al Privacy Shield quale meccanismo per il trasferimento • Adottare meccanismi alternativi (es. SCCs) • Considerare la possibilità di archiviare/accedere ai dati personali all'interno dell'UE Implementare modifiche della governance • Aggiornare il registro dei trattamenti, le informative, ecc.. • Adottare meccanismi di trasferimento differenti / misure di garanzia supplementari • Prevedere un meccanismo di valutazione dell’adeguatezza nel ciclo del procurement SCCs & altri meccanismi per il trasferimento di cui al Capo V • verificare caso per caso se le leggi applicabili nel paese di destinazione garantiscono una protezione adeguata • Seguire i principi dell’ Art 45(2) per l’ assessment • Tenere conto dei rischi specifici per il trasferimento dei dati • coordinarsi con i data importer (ad esempio i fornitori di servizi cloud) per la loro valutazione • valutare se ulteriori contromisure possono contribuire a mitigare i rischi • documentare la decisione finale (procedere/rifiutare) • Controllare le line guida e le indicazioni da parte delle DPA e dell’EDPB Implicazioni pratiche per i data exporter
  • 8. www.dlapiper.com 8 La metodologia di DLA Piper per valutare i trasferimenti di dati extra SEE
  • 9. UKG/98428074 9 Domande? Giulio Coraggio Partner Head of Technology Sector Giulia Zappaterra Senior Lawyer Cristina Criscuoli Lawyer Tommaso Ricci Privacy Expert DLA Piper Legal Tech Focus Group Member