La Corte di Giustizia dell’Unione europea (CGUE), con la sentenza del 16 luglio 2020, ha invalidato la decisione della Commissione UE sull’adeguatezza della protezione garantita dal noto Privacy Shield, ovvero “lo scudo” UE-USA che definisce i principi di protezione dei dati personali dei cittadini europei trasferiti negli Usa dall’Europa. La Corte ha anche confermato che le clausole contrattuali tipo rimangono uno strumento valido per il trasferimento di dati personali a incaricati, quali i Responsabili del trattamento, stabiliti in Paesi terzi.
Secondo la CGUE l’accordo per il trasferimento di dati tra Europa e Stati Uniti è inidoneo a garantire un livello di protezione sostanzialmente equivalente a quello garantito in Europa dal Regolamento, ovvero non fornisce ai cittadini europei sufficienti garanzie contro le leggi statunitensi in materia di sorveglianza e sicurezza della privacy. Perciò, ai sensi del Regolamento generale sulla protezione dei dati (GDPR), il trasferimento dei dati verso un Paese terzo può avvenire, in linea di principio, solo se il Paese terzo garantisce un adeguato livello di protezione degli stessi.
La valutazione del livello di protezione riguarda:
In mancanza di una decisione di adeguatezza o di garanzie adeguate il GDPR, inoltre, stabilisce precisamente a quali condizioni può avvenire un trasferimento (art. 49), ovvero se
La Corte ha dichiarato inoltre che, in assenza di una decisione di adeguatezza validamente adottata dalla Commissione, le autorità di controllo competenti - es. il Garante Privacy - sono tenute a sospendere o vietare un trasferimento di dati personali verso un Paese terzo quando ritengano, alla luce delle circostanze proprie di tale trasferimento, che le clausole tipo di protezione dei dati non siano o non possano essere rispettate in tale Paese e che la protezione dei dati trasferiti richiesta dal diritto dell’Unione non possa essere garantita con altri mezzi, ove l’esportatore stabilito nell’Unione non abbia esso stesso sospeso tale trasferimento o messo fine a quest’ultimo.
Vi è quindi l’obbligo per l’esportatore dei dati (Titolare del trattamento) e il destinatario del trasferimento di verificare preliminarmente che tale livello di protezione sia rispettato nel Paese terzo considerato, e inoltre il destinatario deve informare l’esportatore dei dati della sua eventuale impossibilità di conformarsi alle clausole tipo di protezione, con l’onere, in tal caso, per quest’ultimo di sospendere il trasferimento di dati e/o di risolvere il contratto concluso con il primo.
Secondo la Corte, le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autorità statunitensi, non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dal principio di proporzionalità, giacché i programmi di sorveglianza fondati sulla suddetta normativa non si limitano a quanto strettamente necessario.
Tali decisioni potrebbero creare complicazioni alle aziende multinazionali, americane ed europee, che fondano il loro business sul trasferimento e l’utilizzo di dati e costringere i grandi colossi - come Facebook, Apple o Google - a rivedere la propria strategia o ad affrontare costi notevoli per effettuare la raccolta dati in Europa, in quanto potrebbero andare incontro a onerose sanzioni per la violazione del GDPR.
Infine, quindi, i Titolati e i Responsabili del trattamento cosa devono fare?
È utile partire dai suggerimenti individuati nell’articolo* pubblicato a cura degli avvocati Luca Bolognini e Paolo Balboni (di ICT Legal Consulting), che propone un elenco di consigli pratici per la gestione del trasferimento dati.
Soggetti che agiscono come Titolari del trattamento
Soggetti che agiscono come Responsabili del trattamento