Avec l’arrêt Schrems II du 16 juillet 2020, la Cour de Justice a déclaré la decision d’adéquation du Privacy Shield invalide, considérant que les exigences de droit interne des Etats-Unis ne garantissaient pas une protection “substantiellement équivalente” à celle du droit européen. Tous les transferts de données personnelles de l’Union européenne vers les Etats-Unis, qui trouvaient autrefois leur légitimité dans le Privacy Shield, doivent désormais nécessairement s’appuyer sur un autre outil de transfert mis à disposition par le RGPD.
Cette decision cruciale, qui a des effets inconsidérables sur les relations économiques et commerciales entre l’Union européenne et les Etats-Unis, lesquelles sont de plus en plus l’objet d’échanges de données, n’a pas eu l’importance désirée en Italie, probablement en partie expliquée par la crise mondiale actuelle.
L'Autorité de contrôle italienne a uniquement publié, le 29 juillet 2020, sur son site internet la décision de la Cour de justice accompagnée d’une traduction en italien de la FAQ publiée par le Comité européen de protection des données, et éditée par la même autorité italienne. Depuis lors, aucune intervention ou indication institutionnelle n'a suivi.
Les organisations italiennes opèrent donc dans un climat de grande incertitude. La décision relative à l'adéquation du Privacy Shield constituait, avec les CCT, l'outil le plus utilisé pour le transfert de données à l'étranger. L'arrêt Schrems II n'a pas seulement déclaré l'invalidité du Privacy Shield, mais a également limité l'utilisation des CCT, en prévoyant la nécessité pour l'exportateur et l'importateur de données de procéder à une évaluation du niveau de protection, en tenant compte des circonstances spécifiques du transfert et des mesures supplémentaires mises en place. Le même principe s'applique aux BCR (1) : dans ce cas également, la légitimité du transfert dépend d'une évaluation qui doit tenir compte de l'analyse au cas par cas et des mesures supplémentaires adoptées.
Les parties sont chargées de procéder à cette évaluation complexe du niveau de protection, sans qu'aucune orientation pratique n’ait été fournie par les autorités compétentes sur les critères à adopter pour cette évaluation ou sur la nature des mesures supplémentaires à adopter.
Une réaction de l'Autorité de surveillance italienne sur ce point, mais également sur la possibilité d'utiliser les autres outils prévus par l'article 46 du RGPD, tels que les systèmes de certification et les codes de conduite, est urgent, considérant au surplus que le seuil fixé par la Cour de justice pour les transferts vers les États-Unis pourrait s'appliquer à tout pays tiers.
(1) BCR : Règles d’entreprise contraignantes
Cette decision cruciale, qui a des effets inconsidérables sur les relations économiques et commerciales entre l’Union européenne et les Etats-Unis, lesquelles sont de plus en plus l’objet d’échanges de données, n’a pas eu l’importance désirée en Italie, probablement en partie expliquée par la crise mondiale actuelle.
L'Autorité de contrôle italienne a uniquement publié, le 29 juillet 2020, sur son site internet la décision de la Cour de justice accompagnée d’une traduction en italien de la FAQ publiée par le Comité européen de protection des données, et éditée par la même autorité italienne. Depuis lors, aucune intervention ou indication institutionnelle n'a suivi.
Les organisations italiennes opèrent donc dans un climat de grande incertitude. La décision relative à l'adéquation du Privacy Shield constituait, avec les CCT, l'outil le plus utilisé pour le transfert de données à l'étranger. L'arrêt Schrems II n'a pas seulement déclaré l'invalidité du Privacy Shield, mais a également limité l'utilisation des CCT, en prévoyant la nécessité pour l'exportateur et l'importateur de données de procéder à une évaluation du niveau de protection, en tenant compte des circonstances spécifiques du transfert et des mesures supplémentaires mises en place. Le même principe s'applique aux BCR (1) : dans ce cas également, la légitimité du transfert dépend d'une évaluation qui doit tenir compte de l'analyse au cas par cas et des mesures supplémentaires adoptées.
Les parties sont chargées de procéder à cette évaluation complexe du niveau de protection, sans qu'aucune orientation pratique n’ait été fournie par les autorités compétentes sur les critères à adopter pour cette évaluation ou sur la nature des mesures supplémentaires à adopter.
Une réaction de l'Autorité de surveillance italienne sur ce point, mais également sur la possibilité d'utiliser les autres outils prévus par l'article 46 du RGPD, tels que les systèmes de certification et les codes de conduite, est urgent, considérant au surplus que le seuil fixé par la Cour de justice pour les transferts vers les États-Unis pourrait s'appliquer à tout pays tiers.
(1) BCR : Règles d’entreprise contraignantes
The Privacy Shield in Italy
The Italian Supervisory Authority only published on its website, on 29 July 2020, the news of the decision of the Court of Justice and a translation into Italian of the FAQ published by the European Data Protection Board, edited by the same Italian authority. Since then, no institutional intervention or indication has followed.
With the Schrems II judgment of 16 July 2020, the Court of Justice declared the Privacy Shield adequacy decision invalid, considering that the requirements of United States domestic law do not guarantee a protection "substantially equivalent" to the protection under European law. All transfers of personal data from the European Union to the United States, which once found their legitimacy in the Privacy Shield, must now necessarily rely on another of the transfer tools made available by GDPR.
This crucial decision, which has enormous effects on the economic and trade relations between the European Union and the United States, having increasingly as their object the exchange of data, has not had the necessary prominence in Italy, in part perhaps also due to the moment of global crisis.
The Italian Supervisory Authority only published on its website, on 29 July 2020, the news of the decision of the Court of Justice and a translation into Italian of the FAQ published by the European Data Protection Board, edited by the same Italian authority. Since then, no institutional intervention or indication has followed.
The Italian organizations are therefore operating in a climate of great uncertainty. The Privacy Shield adequacy decision was, along with SCCs, the most widely used tool for transfer of data overseas. The Schrems II judgment has not only declared the invalidity of Privacy Shields, but has also limited the use of SCCs, providing for the need for the exporter and importer of data to carry out an assessment of the level of protection, taking into account the specific circumstances of the transfer and the supplementary measures put in place. The same principle applies to BCRs (2) : in this case as well the legitimacy of the transfer depends on an assessment that must consider the case-by-case analysis and the additional measures adopted.
The parties are responsible for carrying out this complex assessment on the level of protection, without any practical guideline being provided by the competent authorities on the criteria to be adopted for such assessment or on the nature of the additional measures to be adopted.
A reaction of the Italian Supervisory Authority on this as well as on the possibility to use the other tools under article 46 GDPR, such as certification schemes and codes of conduct, is urgent, also considering that the threshold set by the Court of Justice for transfers to the United States could apply to any third country.
(2) Binding Corporate Rules
With the Schrems II judgment of 16 July 2020, the Court of Justice declared the Privacy Shield adequacy decision invalid, considering that the requirements of United States domestic law do not guarantee a protection "substantially equivalent" to the protection under European law. All transfers of personal data from the European Union to the United States, which once found their legitimacy in the Privacy Shield, must now necessarily rely on another of the transfer tools made available by GDPR.
This crucial decision, which has enormous effects on the economic and trade relations between the European Union and the United States, having increasingly as their object the exchange of data, has not had the necessary prominence in Italy, in part perhaps also due to the moment of global crisis.
The Italian Supervisory Authority only published on its website, on 29 July 2020, the news of the decision of the Court of Justice and a translation into Italian of the FAQ published by the European Data Protection Board, edited by the same Italian authority. Since then, no institutional intervention or indication has followed.
The Italian organizations are therefore operating in a climate of great uncertainty. The Privacy Shield adequacy decision was, along with SCCs, the most widely used tool for transfer of data overseas. The Schrems II judgment has not only declared the invalidity of Privacy Shields, but has also limited the use of SCCs, providing for the need for the exporter and importer of data to carry out an assessment of the level of protection, taking into account the specific circumstances of the transfer and the supplementary measures put in place. The same principle applies to BCRs (2) : in this case as well the legitimacy of the transfer depends on an assessment that must consider the case-by-case analysis and the additional measures adopted.
The parties are responsible for carrying out this complex assessment on the level of protection, without any practical guideline being provided by the competent authorities on the criteria to be adopted for such assessment or on the nature of the additional measures to be adopted.
A reaction of the Italian Supervisory Authority on this as well as on the possibility to use the other tools under article 46 GDPR, such as certification schemes and codes of conduct, is urgent, also considering that the threshold set by the Court of Justice for transfers to the United States could apply to any third country.
(2) Binding Corporate Rules