La Corte di Giustizia dell’Unione europea (CGUE), con la sentenza del 16 luglio 2020, ha invalidato la decisione della Commissione UE sull’adeguatezza della protezione garantita dal noto Privacy Shield, ovvero “lo scudo” UE-USA che definisce i principi di protezione dei dati personali dei cittadini europei trasferiti negli Usa dall’Europa. La Corte ha anche confermato che le clausole contrattuali tipo rimangono uno strumento valido per il trasferimento di dati personali a incaricati, quali i Responsabili del trattamento, stabiliti in Paesi terzi.

Secondo la CGUE l’accordo per il trasferimento di dati tra Europa e Stati Uniti è inidoneo a garantire un livello di protezione sostanzialmente equivalente a quello garantito in Europa dal Regolamento, ovvero non fornisce ai cittadini europei sufficienti garanzie contro le leggi statunitensi in materia di sorveglianza e sicurezza della privacy. Perciò, ai sensi del Regolamento generale sulla protezione dei dati (GDPR), il trasferimento dei dati verso un Paese terzo può avvenire, in linea di principio, solo se il Paese terzo garantisce un adeguato livello di protezione degli stessi.

La valutazione del livello di protezione riguarda:

• sia quanto stipulato contrattualmente tra le parti (esportatore dei dati stabilito nell’Unione e il destinatario del trasferimento stabilito nel Paese terzo)
• sia l’eventuale accesso ai dati trasferiti da parte delle pubbliche autorità di tale Paese terzo, oltre agli elementi pertinenti del sistema giuridico di quest’ultimo.

In mancanza di una decisione di adeguatezza o di garanzie adeguate il GDPR, inoltre, stabilisce precisamente a quali condizioni può avvenire un trasferimento (art. 49), ovvero se

• l'interessato abbia esplicitamente acconsentito al trasferimento proposto, dopo essere stato informato dei possibili rischi di siffatti trasferimenti per l'interessato, dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate (consenso informato dell’interessato);
• il trasferimento è necessario all'esecuzione di un contratto ovvero all'esecuzione di misure precontrattuali adottate su istanza dell'interessato;
• il trasferimento sia necessario per importanti motivi di interesse pubblico o per accertare, esercitare o difendere un diritto in sede giudiziaria;
• il trasferimento sia necessario per tutelare gli interessi vitali dell'interessato o di altre persone, qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso;
• il trasferimento sia effettuato a partire da un registro pubblico.

La Corte ha dichiarato inoltre che, in assenza di una decisione di adeguatezza validamente adottata dalla Commissione, le autorità di controllo competenti - es. il Garante Privacy - sono tenute a sospendere o vietare un trasferimento di dati personali verso un Paese terzo quando ritengano, alla luce delle circostanze proprie di tale trasferimento, che le clausole tipo di protezione dei dati non siano o non possano essere rispettate in tale Paese e che la protezione dei dati trasferiti richiesta dal diritto dell’Unione non possa essere garantita con altri mezzi, ove l’esportatore stabilito nell’Unione non abbia esso stesso sospeso tale trasferimento o messo fine a quest’ultimo.

Vi è quindi l’obbligo per l’esportatore dei dati (Titolare del trattamento) e il destinatario del trasferimento di verificare preliminarmente che tale livello di protezione sia rispettato nel Paese terzo considerato, e inoltre il destinatario deve informare l’esportatore dei dati della sua eventuale impossibilità di conformarsi alle clausole tipo di protezione, con l’onere, in tal caso, per quest’ultimo di sospendere il trasferimento di dati e/o di risolvere il contratto concluso con il primo.

Secondo la Corte, le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autorità statunitensi, non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dal principio di proporzionalità, giacché i programmi di sorveglianza fondati sulla suddetta normativa non si limitano a quanto strettamente necessario.

Tali decisioni potrebbero creare complicazioni alle aziende multinazionali, americane ed europee, che fondano il loro business sul trasferimento e l’utilizzo di dati e costringere i grandi colossi - come Facebook, Apple o Google - a rivedere la propria strategia o ad affrontare costi notevoli per effettuare la raccolta dati in Europa, in quanto potrebbero andare incontro a onerose sanzioni per la violazione del GDPR.

Infine, quindi, i Titolati e i Responsabili del trattamento cosa devono fare?

È utile partire dai suggerimenti individuati nell’articolo* pubblicato a cura degli avvocati Luca Bolognini e Paolo Balboni (di ICT Legal Consulting), che propone un elenco di consigli pratici per la gestione del trasferimento dati.

Soggetti che agiscono come Titolari del trattamento

1. Identificare i trasferimenti verso gli USA e verificare la base legale: se questa è il Privacy Shield occorre individuare una nuova base giuridica;
2. Contattare i fornitori (Responsabili del trattamento) in maniera proattiva, per indicare che, nel caso i trattamenti a loro affidati comportino direttamente o a mezzo di sub-fornitori (sub-responsabili) trasferimenti verso gli USA fino ad ora regolati sulla base del Privacy Shield, occorrerà procedere all’individuazione di una nuova base giuridica;
3. Una volta completata la riorganizzazione dei trasferimenti verso gli USA su base giuridica diversa dal Privacy Shield, modificare coerentemente il Registro dei trattamenti (ex. art. 30 GDPR) e le informative rese ai sensi degli artt. 13-14 GDPR;
4. Verificare e modificare coerentemente, più in generale, i riferimenti al Privacy Shield nella documentazione privacy del Titolare (es. policy, procedure, contratti etc.);
5. Monitorare attentamente le attività delle Autorità di controllo competenti circa ulteriori interpretazioni e consigli pratici per allineare eventuali trasferimenti verso gli USA alla decisione della Corte di Giustizia dell’Unione Europea e più in generale alla normativa in materia di protezione dei dati personali applicabile.

Soggetti che agiscono come Responsabili del trattamento

1. Identificare i trasferimenti posti in essere direttamente o a mezzo di sub-fornitori (sub-responsabili) verso gli USA e verificarne la base legale: se questa è il Privacy Shield occorre concordare con il Titolare una nuova base giuridica;
2. Contattare i Titolari del trattamento in maniera proattiva per indicare che nel caso in cui i trattamenti affidati in qualità di Responsabili comportino direttamente o a mezzo di sub-fornitori (sub-responsabili) trasferimenti verso gli USA fino ad ora regolati sulla base del Privacy Shield occorrerà procedere all’individuazione di una nuova base giuridica;
3. Una volta completata la riorganizzazione dei trasferimenti verso gli USA su base giuridica diversa dal Privacy Shield, modificare coerentemente il Registro dei trattamenti Responsabile (ex. art. 30 GDPR);
4. Verificare e modificare coerentemente i riferimenti al Privacy Shield nella documentazione privacy (es. nei contratti di trattamento dei dati “DPA” ex art. 28 GDPR);
5. Monitorare attentamente le attività delle Autorità di controllo competenti circa ulteriori interpretazioni e consigli pratici per allineare eventuali trasferimenti verso gli USA alla decisione della Corte di Giustizia dell’Unione Europea e più in generale alla normativa in materia di protezione dei dati personali applicabile.

* Articolo https://www.afge.eu/articoli/consigli-pratici-per-la-gestione-del-trasferimento-dei-dati-dopo-linvalidamento-del-privacy-shield/

Torna alla lista degli articoli