Alfredo Sanfelice – Consulente privacy e antiriciclaggio, DPO.
L’European Data Protection Board (EDPB) con il documento “European Data Protection Board publishes FAQ document on CJEU judgment C-311/18 (Schrems II)” ha pubblicato una serie di risposte per fornire i primi chiarimenti sulla Sentenza Schrems II della Corte di Giustizia Europea dello scorso 16 luglio 2020 che ha invalidato il Privacy Shield. In sintesi i chiarimenti riguardano:
– l’oggetto della sentenza.
la Corte ha esaminato la validità della decisione n. 2010/87/CE della Commissione europea sulle clausole contrattuali tipo (“SCC”) e ne ha ritenuto la validità, aggiungendo, però, che questa dipende dall’esistenza all’interno della decisione 2010/87/CE di meccanismi efficaci che consentano, in pratica, di garantire il rispetto di un livello di protezione sostanzialmente equivalente a quello garantito dal RGPD all’interno dell’Unione europea.
La Corte ha inoltre esaminato la validità della decisione 2016/1250 relativa allo scudo per la privacy (Privacy Shield):
• pervenendo alla conclusione che i requisiti del diritto interno degli Stati Uniti, e in particolare determinati programmi che consentono alle autorità pubbliche degli Stati Uniti di accedere ai dati personali trasferiti dall’UE agli Stati Uniti ai fini della sicurezza nazionale, comportano limitazioni alla protezione dei dati personali che non sono configurate in modo da soddisfare requisiti sostanzialmente equivalenti a quelli previsti dal diritto dell’UE e che tale legislazione non accorda ai soggetti interessati diritti azionabili in sede giudiziaria nei confronti delle autorità statunitensi;
• annullando tale decisione senza preservarne gli effetti, senza prevedere cioè alcun periodo di grazia durante il quale continuare a trasferire i dati verso gli USA senza valutare la base giuridica per il trasferimento;
– le implicazioni sugli strumenti di trasferimento diversi dallo scudo per la privacy.
la soglia fissata dalla Corte si applica anche a tutte le garanzie adeguate ai sensi dell’articolo 46 del RGPD delle quali ci si avvalga per trasferire dati dal SEE a qualsiasi paese terzo;
– l’utilizzo di SCC con un importatore di dati negli Stati Uniti o di norme vincolanti d’impresa (“BCR”) con un soggetto stabilito negli Stati Uniti.
La possibilità o meno di trasferire dati personali sulla base di SCC o di norme vincolanti d’impresa (“BCR”) dipende dall’esito della valutazione che l’importatore dovrà compiere, tenuto conto delle circostanze del trasferimento e delle misure supplementari eventualmente messe in atto. Le misure supplementari unitamente alle SCC ed alle BCR, alla luce di un’analisi caso per caso delle circostanze del trasferimento, dovrebbero garantire che la normativa statunitense non interferisca con l’adeguato livello di protezione garantito dalle SCC o dalle BCR e dalle misure supplementari stesse.
Ove anche sulla base di tali valutazioni e delle eventuali misure supplementari non vi fossero adeguate garanzie, occorrerebbe sospendere o porre fine al trasferimento di dati personali;
– l’utilizzo delle deroghe di cui all’articolo 49 del GDPR al fine di trasferire i dati negli Stati Uniti.
È ancora possibile trasferire dati dal SEE agli Stati Uniti sulla base delle deroghe previste dall’articolo 49 del regolamento generale sulla protezione dei dati, purché siano soddisfatte le condizioni previste da tale articolo. In merito l’EDPB rinvia alle proprie line guida in merito adottate il 25 maggio 2018, https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_it.pdf, pag. 3.
L’EDPB sul punto ricorda che:
• quando i trasferimenti sono basati sul consenso dell’interessato, esso dovrebbe essere esplicito, specifico e informato;
• per quanto riguarda i trasferimenti necessari all’esecuzione di un contratto tra l’interessato e il titolare del trattamento, occorre tenere presente che i dati personali possono essere trasferiti solo su base occasionale;
• in relazione ai trasferimenti necessari per importanti motivi di interesse pubblico (che devono essere riconosciuti nella legislazione dell’UE o degli Stati membri), il requisito essenziale per l’applicabilità di tale deroga è la constatazione della sussistenza di importanti motivi di interesse pubblico, e non già la natura del soggetto coinvolto nel trasferimento;
– l’utilizzo delle SCC o delle BCR per il trasferimento dei dati verso un paese terzo diverso dagli Stati Uniti.
L’EDPB precisa che i principi della sentenza della Corte di Giustizia Europea trovano applicazione per tutti i trasferimenti fuori dal territorio UE effettuati sulla base di SCC odi BCR. Tuttavia, la soglia fissata dalla Corte per i trasferimenti verso gli Stati Uniti si applica a qualsiasi paese terzo.
Quindi spetterà al soggetto-esportatore UE che trasferisce i dati ed al soggetto-importatore extra UE che li riceve valutare se la legislazione del paese terzo garantisce lo stesso livello di protezione della UE. Ciò al fine di determinare se le garanzie fornite dalle SCC o dalle BCR possano essere rispettate nel paese dove i dati vengono trasferiti. In caso contrario, occorrerà valutare se è possibile fornire misure supplementari.
Occorre quindi prendere contatti con l’importatore di dati per verificare i contenuti della legislazione del suo paese e se il livello non è adeguato occorrerà sospendere il trasferimento, provvedendo, in caso contrario, ad informare l’Autorità di controllo.
L’EDPB precisa anche che saranno aperti confronti tra le autorità privacy a livello internazionale al fine di evitare decisioni divergenti;
– le misure supplementari in caso di utilizzo di SCC o BCR per il trasferimento dei dati verso paesi terzi.
Le misure supplementari che possono essere introdotte dovrebbero essere decise caso per caso, tenendo conto di tutte le circostanze del trasferimento e a seguito della valutazione della legge del paese terzo.
Pur dando atto che è responsabilità primaria dell’esportatore e dell’importatore di dati effettuare questa valutazione e fornire le necessarie misure supplementari, l’EDPB precisa che sta attualmente analizzando la sentenza della Corte per determinare il tipo di misure che potrebbero essere fornite in aggiunta a SCC o BCR, siano esse misure contrattuali, tecniche o organizzative;
– la possibilità di conoscere se un Responsabile del trattamento trasferisce dati negli USA.
l’EDPB suggerisce di verificare con attenzione i contenuti dei contratti stipulati con i Responsabili ex art. 28 del GDPR per verificare dove vengono effettivamente traferiti i dati e se tali trasferimenti siano o meno autorizzati.
Occorre inoltre verificare quali sono i sub-responsabili e se nei contratti gli stessi sono stati autorizzati. L’EDPB su questo punto richiama l’attenzione sul fatto che una grande varietà di soluzioni informatiche può comportare il trasferimento di dati personali verso un paese terzo (ad esempio, ai fini di archiviazione o manutenzione);
– le azioni da adottare ove il contratto ex art. 28 GDPR preveda il trasferimento in USA o in altro paese terzo.
Se i dati vengono trasferiti negli Stati Uniti e non possono essere fornite misure supplementari per garantire un livello di protezione sostanzialmente equivalente a quello garantito nella UE, né possono essere applicate le deroghe di cui all’articolo 49 GDPR, l’unica soluzione è quella di negoziare una modifica o una clausola supplementare al contratto per vietare i trasferimenti negli Stati Uniti.
Se i dati vengono trasferiti in un altro paese terzo, occorre invece verificare l’adeguatezza del livello di protezione del paese terzo e, se tale livello non è adeguato, occorre interrompere il trasferimento
