Skip to main content

Schrems II

TL;DR

Schrems II è il nome dato a un caso della Corte di giustizia europea che si basava sul fatto che le aziende statunitensi non possono garantire standard adeguati per la protezione dei dati personali. Di conseguenza, il trasferimento di dati personali tra l'UE e gli USA è diventato illegale e l'accordo Privacy Shield tra loro è stato reso obsoleto.

Cosa significa Schrems II?

Schrems II è il nome generico dato a un caso presso la Corte di giustizia europea, che si è pronunciato a favore di Max Schrems e ha portato all'invalidazione dello scudo UE-USA per la privacy, il 16 luglio 2020. Questo ha portato al fatto che è diventato illegale per qualsiasi tipo di processore di dati utilizzare servizi dagli Stati Uniti, che darebbero accesso a questi servizi ai dati personali dei cittadini dell'UE, senza spiegare completamente i rischi. Le conseguenze furono molto gravi, tanto che alcune grandi aziende statunitensi (per esempio Facebook) considerarono di interrompere del tutto i loro affari nell'UE.

Un caso precedente, noto come Schrems I, iniziato dalla stessa persona, era stato all'origine di un esito simile nel 2015. La decisione della Corte di giustizia europea nel caso Schrems II, era basata sull'argomento che, soprattutto a causa della legislazione statunitense come ilCLOUD Act, non c'è modo di garantire la privacy dei dati personali se sono gestiti da aziende statunitensi. Le agenzie federali che utilizzano un mandato potrebbero sempre costringere gli elaboratori di dati come Google o Facebook a rivelare informazioni personali sugli utenti, senza alcun consenso da parte loro. Non importa dove i server che contengono i dati sono fisicamente collocati. Pertanto, qualsiasi cittadino dell'UE che accede a un sito web ospitato negli Stati Uniti, o qualsiasi sito web che utilizza applicazioni di terze parti gestite da società statunitensi (ad esempio Google Analytics), deve essere adeguatamente informato su tutte le implicazioni legali del trasferimento dei dati, così come su tutti i rischi.

Per maggiori dettagli sulle conseguenze di Schrems II, potete leggere questa panoramica. In sintesi, sono:

  • i proprietari di siti web con visitatori dell'UE non possono memorizzare i dati al di fuori dell'UE, a meno che le leggi di quel paese possano fornire un adeguato livello di protezione dei dati
  • qualsiasi servizio di terze parti utilizzato da un sito web deve anche fornire protezione, e quindi non può essere basato negli Stati Uniti. Questi servizi possono includere: strumenti di analisi del sito web, strumenti di gestione delle relazioni con i clienti, servizi pubblicitari, strumenti di chat, strumenti di comprensione degli utenti, ecc.
  • l'elenco delle aziende statunitensi che erano esentate dalle regole, sulla base del Privacy Shield, non operano più legalmente
  • i banner di consenso devono includere informazioni specifiche sui cookie, così come le norme sul trasferimento dei dati