Articoli
07/08/2020
Corporate & Commercial - Privacy & IT Compliance

I trasferimenti di dati personali dall’Unione Europea agli Stati Uniti a seguito della sentenza della Corte di Giustizia dell’Unione Europea nel caso “Schrems II”

1. Premessa

Il 16 luglio 2020, la Corte di Giustizia dell’Unione Europea (di seguito, la “CGUE”) ha adottato la sua sentenza nel c.d. caso “Schrems II”.

La decisione è destinata ad avere impatti significativi sui trasferimenti di dati personali dall’Unione Europea agli Stati Uniti, in quanto annulla, da una parte, la decisione della Commissione Europea sull’adeguatezza del Privacy Shield. e impone, dall’altra, requisiti aggiuntivi ai trasferimenti di dati personali basati sulle “clausole contrattuali standard” (di seguito le “SCC“).

Cosa, dunque, dovrebbero fare ora le società con sede nell’Unione Europea che hanno fatto affidamento finora sul Privacy Shield e le SCC?

Per rispondere a questa domanda, è opportuno richiamare brevemente la normativa europea in materia di trasferimento di dati personali dall’Unione Europea verso paesi terzi di cui agli articoli 44 e seguenti del Regolamento (UE) n. 2016/679 (di seguito, il “GDPR“).

2. Quadro normativo

Ai sensi del GDPR, i trasferimenti di dati personali verso paesi terzi possono essere effettuati soltanto se:

  1. la Commissione Europea abbia adottato “una decisione di adeguatezza” che certifichi che il Paese Terzo garantisce un livello adeguato di protezione ai dati personali che saranno trasferiti o, in assenza di tale decisione;
  2. il titolare o il responsabile del trattamento che trasferisce i dati personali nel paese terzo abbia fornito garanzie adeguate e gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi.

Oltre alle ipotesi di cui sopra, il trasferimento può basarsi anche sulle deroghe di cui all’articolo 49 (incluso, tra le altre, il consenso esplicito dell’interessato).

2.1 Trasferimento sulla base di una decisione di adeguatezza

Le decisioni di adeguatezza rappresentano la soluzione più semplice per una società con sede in Europa per trasferire dati personali a un paese terzo.

Per effetto di tali decisioni, i dati personali possono infatti circolare dall’Unione Europea (e da Norvegia, Liechtenstein e Islanda) verso un Paese terzo senza che sia necessaria alcuna ulteriore tutela. In altre parole, i trasferimenti verso il paese in questione sono equiparati ai trasferimenti di dati personali all’interno dell’UE.

Allo stato, la Commissione europea ha adottato decisioni di adeguatezza sul trasferimento di dati personali verso i seguenti paesi: Andorra, Argentina, Canada (società commerciali), Isole Faroe, Guernsey, Israele, Isola di Man, Giappone, Jersey, Nuova Zelanda, Svizzera, Uruguay e Stati Uniti d’America (limitatamente al Privacy Shield).

2.2 Trasferimenti sulla base di garanzie adeguate

I trasferimenti verso paesi terzi in relazione ai quali non sia stata adottata una decisione di adeguatezza possono basarsi sulle garanzie adeguate di cui all’articolo 46 del GDPR. Per quanto riguarda le società commerciali, tali salvaguardie includono:

  1. le norme vincolanti d’impresa (e cioè policy sulla protezione dei dati personali adottate da società stabilite nell’Unione Europea per il trasferimento di dati personali al di fuori dell’Unione Europea nell’ambito del gruppo di imprese di cui fanno parte);
  2. le SCC (adottate dalla Commissione Europea o da un’autorità di controllo e approvate dalla Commissione Europea);
  3. l’adesione a un codice di condotta approvato da un’autorità di controllo, unitamente all’impegno vincolante ed esecutivo da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati;
  4. l’ottenimento di una di certificazione, unitamente agli impegni di cui sopra;
  5. qualsiasi altra garanzia adeguata approvata dall’autorità di controllo competente.

Occorre tuttavia precisare che, per quanto riguarda i codici di condotta, il Garante per la Protezione dei Dati Personali, allo stato, ha approvato solo due codici: uno per il trattamento dei dati personali in materia di informazioni commerciali e uno per i sistemi informativi gestiti da soggetti privati in materia di credito al consumo, affidabilità e puntualità dei pagamenti. Per quanto riguarda i meccanismi di certificazione, non è stato ancora approvato alcun meccanismo di certificazione idoneo a certificare la conformità al GDPR.

I trasferimenti di dati personali dall’Italia verso paesi terzi (ivi inclusi gli Stati Uniti) non possono quindi basarsi su codici di condotta al di fuori dei settori sopra citati, né possono basarsi, almeno per il momento, su meccanismi di certificazione.

3. I trasferimenti di dati personali dall’Unione Europea agli Sttai Uniti d’America prima della sentenza “Schrems II”

Stante la complessità delle norme vincolanti d’impresa, la limitata disponibilità di codici di condotta e l’indisponibilità di certificazioni, la maggior parte delle società con sede nell’Unione Europea che trasferiscono dati personali dall’Italia agli Stati Uniti si sono finora avvalse, alternativamente, del Privacy Shield, delle SCC o, in via residuale, del consenso esplicito degli interessati.

3.1 Il Privacy Shield

Il Privacy Shield consiste in un programma a cui le aziende con sede negli Stati Uniti devono aderire per poter legittimamente ricevere i dati personali da una società con sede nell’Unione Europea. L’adesione al Privacy Shield comporta fondamentalmente l’obbligo per la società membra di attenersi ai principi definiti nel documento “Privacy Principles“, sotto la supervisione del Dipartimento del Commercio degli Stati Uniti.

Il programma è diventato operativo il 1° agosto 2016, a seguito dell’adozione da parte della Commissione Europea della decisione (UE) 2016/1250 del 12 luglio 2016.

3.2 Le SCC

Nella maggior parte dei casi, le società con sede negli Stati Uniti che non aderiscono al Privacy Shield hanno basato i flussi di dati personali provenienti dall’Unione Europea sulle SCC.

Le SCC consistono in set di clausole “tipo” che l’esportatore e l’importatore di dati personali sottoscrivono, allo scopo di assicurare, attraverso obblighi contrattuali conformi alle disposizioni del GDPR, un livello di protezione adeguato ai dati personali che lasciano lo Spazio economico europeo (SEE).

La Commissione Europea ha approvato fino tre set di clausole contrattuali tipo: due per i trasferimenti di dati dai titolari del trattamento stabiliti nell’UE ai titolari del trattamento stabiliti al di fuori dell’UE o dello Spazio economico europeo (SEE) e una per i trasferimenti di dati dai titolari del trattamento stabiliti nell’UE ai responsabili del trattamento stabiliti al di fuori dell’UE o del SEE.

Non sono state ancora emesse SCC relative al trasferimento da un responsabile del trattamento stabilito nell’UE a un titolare del trattamento stabilito al di fuori dell’UE né relative al trasferimento da responsabili del trattamento (o sub-responsabili) stabiliti nell’Unione Europea a responsabili del trattamento (o sub-responsabili) stabiliti al di fuori dell’UE.

3.3 Il consenso esplicito

Meno agevole è il ricorso al consenso esplicito dell’interessato come base giuridica del trasferimento di dati personali al di fuori dell’UE. Infatti, secondo le “Frequently Asked Questions sulla sentenza della Corte di Giustizia dell’Unione Europea nella causa C-311/18 – Data Protection Commissioner vs Facebook Ireland Ltd e Maximillian Schrems“, pubblicate dallo European Data Protection Board il 23 luglio 2020, tale consenso deve essere:

  • esplicito;
  • specifico per il particolare trasferimento o insieme di trasferimenti di dati (il che significa che l’esportatore di dati deve assicurarsi di ottenere un consenso specifico prima che il trasferimento sia eseguito anche se questo avviene dopo la raccolta dei dati), e;
  • informato, in particolare sui possibili rischi del trasferimento (il che significa che l’interessato dovrebbe essere informato anche dei rischi specifici derivanti dal trasferimento dei dati verso un paese che non fornisce una protezione adeguata, e dell’assenza di misure di salvaguardia adeguate volte a proteggere i dati).

In altre parole, un wording generico non costituisce una soluzione valida per ottenere tale consenso.

4. La sentenza “Schrems II

La sentenza della CGUE nel caso “Schrems II” giunge al termine di un lungo procedimento iniziato con la decisione della CGUE del 2015 nel caso “Schrems I“, che ha annullato la decisione della Commissione Europea del 2000 sul “Safe Harbour”. A seguito dell’annullamento del “Safe Harbor” nella causa “Schrems I”, il 3 ottobre 2017 la Corte Suprema Irlandese ha deferito alla CGUE una pronuncia pregiudiziale. Alla CGUE è stato chiesto nello specifico di pronunciarsi sulla validità delle SCC previste dalla decisione della Commissione europea n. 2010/87/UE.

In particolare, alla CGUE è stato chiesto, tra l’altro, di stabilire se le leggi degli Stati Uniti garantissero un’adeguata protezione ai dati personali provenienti dall’UE e se il ricorso alle SCC offrisse sufficienti garanzie circa la tutela dei diritti e delle libertà degli interesati.

In linea con le conclusioni presentate dall’avvocato generale, la CGUE ha confermato la validità delle SCC come meccanismo di trasferimento di dati personali ai sensi del GDPR, anche verso gli Stati Uniti. Allo stesso tempo, la CGUE ha richiesto agli esportatori di dati nell’UE, così come agli importatori di dati negli Stati Uniti, di svolgere una valutazione circa l’adeguatezza della capacità di un importatore di dati di conformarsi alle SCC ai sensi della propria legislazione nazionale e di introdurre “salvaguardie supplementari”, “misure supplementari” e “meccanismi efficaci”, ove necessario.

Inoltre, la CGUE ha invalidato la decisione sul Privacy Shield, stabilendo che essa non include restrizioni idonee a garantire la protezione dei dati personali dall’accesso e dall’uso da parte delle autorità governative degli Stati Uniti sulla base della legislazione federale.

5. Le attuali alternative al Privacy Shield per I trasferimenti di dati personali dall’Italia agli Stati Unito

A seguito della decisione “Schrems II“, il Privacy Shield non costituisce più un meccanismo valido per conformarsi al GDPR allorché si trasferiscano dati personali dall’Unione Europea agli Stati Uniti.  Le società hanno quindi il dovere di adoperarsi per sospendere i trasferimenti di dati personali che si basavano sul Privacy Shield e di rivedere i propri flussi transatlantici di dati.

A tal riguardo, ci sono diverse possibili soluzioni alternative che dovrebbero essere prese in considerazione, ma tutte richiedono allo stesso tempo maggiore attenzione e cautela rispetto al passato. Tali soluzioni comprendono, ad esempio:

Nel breve termine:

  • rivalutare la necessità di trasferire i dati personali oltreoceano e considerare la possibilità di sostituire i fornitori con sede negli Stati Uniti con fornitori stabiliti nell’UE o di conservare i dati presso uno stabilimento all’interno dell’UE;
  • basare i trasferimenti di dati personali sulle SCC, dopo aver stabilito una procedura per valutare il livello di protezione dei dati nel paese o territorio in cui tali dati sono trasferiti e imporre misure tecniche e organizzative adeguate a tale livello di protezione;
  • fare affidamento sul consenso esplicito degli interessati, sulla base delle indicazioni del Data Protection Board;

nel medio-lungo termine:

  • per i gruppi multinazionali, definire delle norme vincolanti d’impresa e sottoporle all’approvazione delle autorità competenti ai sensi e per gli effetti dell’articolo 47 del GDPR; oppure
  • attendere l’emanazione di codici di condotta o di meccanismi di certificazione e poi aderirvi.

 

Il contenuto di questo elaborato ha valore meramente informativo e non costituisce, né può essere interpretato, quale parere professionale sugli argomenti in oggetto. Per ulteriori informazioni si prega di contattare Paolo Gallarati e Giulio Uras.

Ricevi i nostri aggiornamenti