La Corte di Giustizia Europea ha dichiarato inadeguato l’accordo sulla protezione dati offerta dal regime dello scudo UE-USA per la privacy.
Quali sono i motivi? Quali possono essere gli scenari futuri?
Alfredo Sanfelice – Consulente privacy e antiriciclaggio, DPO
La decisione della Corte
la Corte di Giustizia Europea con la sentenza del 16 luglio 2020 nella causa C-311/18 promossa da un noto attivista austriaco (Maximilian Schrems), ha dichiarato invalida la decisione di esecuzione UE 2016/1250 della Commissione, con cui veniva stabilita l’adeguatezza del Privacy Shield per i trasferimenti dei dati personali dall’Unione Europea agli Stati Uniti d’America.
La Corte ha preso spunto dalla considerazione che “ai sensi del regolamento generale sulla protezione dei dati (in appresso “RGDP”) il trasferimento dei suddetti dati verso un Paese terzo può avvenire, in linea di principio, solo se il Paese terzo considerato garantisce a tali dati un adeguato livello di protezione. Secondo tale regolamento, la Commissione può constatare che, grazie alla sua legislazione nazionale o ad impegni internazionali, un Paese terzo assicura un livello di protezione adeguato. In mancanza di una decisione di adeguatezza siffatta, un trasferimento del genere può essere effettuato solo se l’esportatore dei dati personali, stabilito nell’Unione, prevede garanzie adeguate, le quali possono risultare, in particolare, da clausole tipo di protezione dei dati adottate dalla Commissione, e se gli interessati dispongono di diritti azionabili e di mezzi di ricorso effettivi. Il RGDP stabilisce precisamente, inoltre, a quali condizioni può avvenire un trasferimento siffatto in mancanza di una decisione di adeguatezza o di garanzie adeguate”.
In considerazione di tale presupposto e rivedendo il Privacy Shield alla luce non solo del GDPR, ma anche delle disposizioni della Carta dei diritti fondamentali che garantiscono il rispetto della vita privata e familiare, la protezione dei dati personali e diritto ad una tutela giurisdizionale, la Corte Europea ha affermato che:
• “le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autorità statunitensi, di siffatti dati trasferiti dall’Unione verso tale Paese terzo, e che sono state valutate dalla Commissione nella decisione 2016/1250, non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dal principio di proporzionalità, giacché i programmi di sorveglianza fondati sulla suddetta normativa non si limitano a quanto strettamente necessario.”
• “quanto al requisito della tutela giurisdizionale, contrariamente a quanto considerato dalla Commissione nella decisione 2016/1250, il meccanismo di mediazione previsto da tale decisione non fornisce a tali persone un mezzo di ricorso dinanzi ad un organo che offra garanzie sostanzialmente equivalenti a quelle richieste nel diritto dell’Unione, tali da assicurare tanto l’indipendenza del Mediatore previsto da tale meccanismo quanto l’esistenza di norme che consentano al suddetto Mediatore di adottare decisioni vincolanti nei confronti dei servizi di intelligence statunitensi.”
Poiché il giudice del rinvio (Alta Corte, Irlanda) aveva interrogato la Corte anche sull’applicabilità del Regolamento a trasferimenti di dati personali fondati su clausole tipo di protezione contenute nella decisione 2010/87 , la Corte di giustizia europea nell’ambito della stessa sentenza ha valutato anche l’applicabilità del RGDP a trasferimenti di dati personali fondati sulle citate clausole tipo di protezione, nonché il livello di protezione richiesto da tale regolamento nel quadro di un trasferimento siffatto e gli obblighi che incombono alle autorità di controllo in tale contesto, affermando che alla luce della Carta dei diritti fondamentali (in appresso “la Carta”), non è emerso alcun elemento idoneo ad inficiarne la validità.
Più in particolare la Corte ha sottolineato la validità delle c.d. clausole contrattuali standard precisando che:
• “la decisione 2010/87 stabilisce un obbligo per l’esportatore dei dati e il destinatario del trasferimento di verificare, preliminarmente, che tale livello di protezione sia rispettato nel Paese terzo considerato”;
• è imposto “al destinatario di informare l’esportatore dei dati della sua eventuale impossibilità di conformarsi alle clausole tipo di protezione, con l’onere, in tal caso, per quest’ultimo di sospendere il trasferimento di dati e/o di risolvere il contratto concluso con il primo”.
Le altre ipotesi di trasferimento dei dati personali verso un Paese extra-UE
Oltre alle decisioni di adeguatezza di cui fa parte il Privacy Shield, il GDPR agli artt. 46 e 47 contempla ulteriori ipotesi in cui il trasferimento dei dati personali verso un Paese extra-UE potrebbe essere effettuato senza necessità di autorizzazione da parte dell’Autorità di controllo in quanto effettuato in presenza di garanzie adeguate e cioè:
• norme vincolanti di impresa che possono essere utilizzate nell’ambito dei rapporti infragruppo;
• le clausole tipo adottate da autorità di controllo nazionali e approvate dalla Commissione;
• i codici di condotta e i meccanismi di certificazione, approvati ai sensi rispettivamente dell’art. 40 e dell’art. 42 del GDPR, unitamente all’impegno vincolante del titolare o responsabile del trattamento nel paese terzo di applicare garanzie adeguate anche relativamente ai diritti degli interessati.
A tali casi vanno aggiunte le situazioni derogatorie previste dall’art. 49 del GDPR che prevedono che il trasferimento:
• avvenga in base al consenso esplicito dell’interessato, che però deve essere precedentemente informato dei possibili rischi dei trasferimenti;
• sia necessario all’esecuzione di un contratto o di misure precontrattuali tra l’interessato ed il titolare del trattamento;
• sia necessario alla conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato;
• sia necessario per importanti motivi di interesse pubblico, che deve essere riconosciuto dal diritto dell’Unione o dello Stato membro a cui appartiene il titolare del trattamento;
• sia necessario per l’accertamento, difesa o esercizio di un diritto in sede giudiziaria;
• sia necessario per tutelare interessi vitali dell’interessato (ed egli non possa prestare il consenso)
• sia relativo a dati contenuti in un registro pubblico (ma in tal caso non può riguardare la totalità dei dati presenti o intere categorie).
Attenzione i casi previsti dalle norme derogatorie riguardano trasferimenti occasionali e non ripetitivi di dati personali come ampiamente sottolineato dall’EDPB nelle Linee guida 2/2018 sulle deroghe di cui all’articolo 49 del regolamento 2016/679, adottate il 25 maggio 2018.
Scenari possibili
La prima considerazione riguarda i trasferimenti interessati dalla decisione della Corte Europea.
La sentenza non riguarda i trasferimenti, occasionali e non ripetitivi, necessari o basati su accordi contrattuali (es. mail, prenotazione viaggi, acquisti) che saranno regolati dalle deroghe previste dall’art. 49 del GDPR.
Il problema si pone piuttosto per i titolari che, operando nel territorio dell’Unione Europea, forniscono beni e servizi a favore di interessati siti nel territorio dell’UE utilizzando servizi e strumenti che spesso sono forniti da società statunitensi che a tal fine si avvalgono di server collocati oltreoceano.
Una seconda considerazione riguarda la circostanza che la sentenza della Corte di Giustizia valutando non adeguato il livello di tutela offerto dalla legislazione statunitense potrebbe riverberare effetti anche sul trasferimento di dati basato su clausole standard contrattuali dal momento che le singole “autorità sono segnatamente tenute a sospendere o vietare un trasferimento di dati personali verso un Paese terzo quando ritengano, alla luce delle circostanze proprie di tale trasferimento, che le clausole tipo di protezione dei dati non siano o non possano essere rispettate in tale Paese e che la protezione dei dati trasferiti, richiesta dal diritto dell’Unione, non possa essere garantita con altri mezzi, ove l’esportatore stabilito nell’Unione non abbia esso stesso sospeso tale trasferimento o messo fine a quest’ultimo”. Le singole Autorità di controllo potrebbero comunque ritenere non idonee le clausole contrattuali standard come misura di salvaguardia.
In attesa che la Commissione Europea o l’EDPB adottino eventuali provvedimenti in relazione ai principi fissati dalla decisione della Corte di Giustizia che ha invalidato il Privacy Shield, occorre innanzitutto verificare, ove non si sia dedicata la giusta attenzione all’eventuale trasferimento all’estero dei dati personali trattati, se tali dati sono oggetto di trasferimento in paesi extra UE e segnatamente negli USA. A tal fine dovranno essere controllati gli accordi con gli eventuali responsabili del trattamento, verificando se i dati trattati sono oggetto di trasferimento oltreoceano. In alcuni casi è, peraltro, possibile selezionare il luogo geografico in cui sono collocati i data center.
Ci auguriamo, inoltre, che i grandi operatori di servizio adottino soluzioni che consentano di ricollocare i data center in paesi dell’Unione Europea come, peraltro, già effettuato da alcuni di essi.
30 luglio 2020
