Il Garante Privacy bavarese ha emesso il primo provvedimento in materia di trasferimento di dati personali extra UE a seguito della sentenza della Corte di Giustizia dello scorso 16 luglio nel procedimento cd. “Schrems II” che ha invalidato lo strumento del Privacy Shield per il trasferimento dei dati personali verso gli Stati Uniti e ha imposto l’adozione di misure ulteriori per tale trasferimento da parte dei titolari/responsabili del trattamento che trasferiscano/intendano trasferire dati personali al di fuori dell’Unione Europea.

In particolare, l’Autorità tedesca ha considerato illegittimo il trasferimento di dati personali extra UE effettuato dalla società tedesca FOGS Magazin che si avvaleva dei servizi Mailchimp in materia di newsletter.

Questo in quanto, oltre alla sottoscrizione delle standard contractual clauses, tra titolare del trattamento importatore e responsabile del trattamento esportatore, non sono state adottate misure ulteriori per proteggere i dati personali oggetto di esportazione.

Cosa fare in caso di trasferimento di dati personali extra UE?

Al fine di fornire indicazioni in merito a quanto stabilito dalla sentenza Schrems II, il Comitato europeo per la protezione dei dati (di seguito, “EDPB”) ha fornito delle raccomandazioni in favore dei titolari/responsabili del trattamento che trasferiscano/intendano trasferire dati personali al di fuori dell’Unione Europea. In particolare, l’EDPB ha individuato degli step che tutti gli esportatori di dati personali extra-UE – siano essi titolari o responsabili del trattamento – devono valutare prima di procedere al trasferimento dei dati personali extra UE, fornendo anche alcuni esempi di misure ulteriori adottabili.

Al fine di non trovarsi impreparati, come accaduto alla società tedesca FOGS Magazin, vi ricordiamo l’opportunità di effettuare un’attività di assessment privacy alla luce delle raccomandazioni dall’EDPB.

https://edpb.europa.eu/news/national-news/2021/bavarian-dpa-baylda-calls-german-company-cease-use-mailchimp-tool_en