giovedì 15 ottobre 2020

SENTENZA SCHREMS II E ABOLIZIONE DEL PRIVACY SHIELD

 



SENTENZA SCHREMS II E ABOLIZIONE DEL PRIVACY SHIELD 

1. la Sentenza Schrems II 

Come noto, con la sentenza C-311/18 del 16.07.2020 (cd. Schrems II) la Corte di Giustizia Europea ha invalidato la decisione 2016/1250 della Commissione e ha riaffermato la validità della decisione 2010/87. 
Al fine di meglio comprendere l’effettiva portata della pronuncia in commento, appare utile ricordare che: 
· La decisione 2016/1250 della Commissione riguardava l'adeguatezza della protezione offerta dal regime dello scudo UE- USA per la privacy (c.d. ‘Privacy Shield’) 
· La decisione 2010/87 aveva ad oggetto le clausole contrattuali tipo che erano state individuate come base giuridica per giustificare e autorizzare il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi. 

1.1 La sentenza Schrems I 
Maximilian Schrems (giurista austriaco) già nel 2015 aveva sollecitato la Corte di giustizia ad invalidare il meccanismo ‘Safe Harbour’. 
Più nello specifico, in quell’occasione: 
· aveva denunciato le pratiche di trasferimento dati di Facebook, in quanto Facebook Ireland inviava i dati personali dei cittadini europei ai server di Facebook Inc, quest’ultima stabilita negli Stati Uniti; 
· evidenziava, come il diritto statunitense avrebbe imposto a Facebook Inc. di trasmettere i dati personali ottenuti ad alcune autorità locali, quali la National Security Agency (NSA) e le Federal Bureau of Investigation (FBI). 
La tesi di Schrems è stata fatta propria dalla Corte di Giutizia, la quale con la sentenza C-362/14 (c.d. ‘Schrems I’) ha invalidato il c.d. "Safe Harbour" (sistema di garanzie oggetto della decisione 2000/520). 

1.2 Entrata in vigore del GDPR 
Con l’entrata in vigore del GDPR, sono state introdotte nuove previsioni in materia di trasferimento dei dati personali extra UE. Tra le modalità ritenute legittime dal GDPR per giustificare e trasferire i dati, si ricordano: 
· la sussistenza di una decisione di adeguatezza da parte della Commissione Europea, per cui "il paese terzo, un territorio o uno o più settori specifici all'interno del paese terzo, o l'organizzazione internazionale in questione garantiscono un livello di protezione adeguato" (art. 45 GDPR) 
· l'utilizzo delle "clausole tipo di protezione dei dati" adottate dalla Commissione Europea mediante una procedura ad hoc (art. 46 GDPR). 

1.3 Il contenuto della sentenza Schrems II 
In occasione della sentenza Schrems II, la Corte si è dovuta esprimere in merito alla validità del c.d. "Privacy Shield" (modello basato sulla decisione di adeguatezza 2016/1250 della commissione e sulle clausole contrattuali standard contenute nella decisione 2010/87). 
Sino al 16 luglio 2020, l’adeguatezza nella gestione dei dati da parte delle società americane era garantita dal Privacy Shield, che era l’accordo che aveva sostituito fino a quel momento il precedente ‘Safe Harbour’. Attraverso il Privacy Shield, era stato introdotto un meccanismo di autocertificazione per le società stabilite negli USA che ricevevano dati personali dalla UE. In particolare, le società per essere certificate e comparire nella Privacy Shield List dovevano impegnarsi a rispettare i principi contenuti nel Privacy Shield che di fatto richiamavano le tutele previste dal GDPR. 
Con la decisione Schrems II, la Corte ha confermato che il contesto normativo degli Stati Uniti non era idoneo ad assicurare tutele e garanzie previste dal diritto europeo, in quanto gli strumenti legislativi americani di sorveglianza pubblica non sono circoscritti in modo da soddisfare i requisiti richiesti dal principio di proporzionalità del GDPR, non essendo limitati allo strettamente necessario. 
Si è giunti così all’invalidazione del Privacy Shield. Contestualmente, la Corte ha giudicato valida la Decisione 2010/87 relativa alle Clausole Contrattuali Tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi. 
Qui di seguito si sintetizzano i passaggi principali della pronuncia in commento. 
Invalidando la decisione 2016/1250, la Corte 
· afferma che il livello di protezione richiesto per il trasferimento dei dati personali deve essere tale da garantire ai ‘data subject’ un livello sostanzialmente equivalente a quello garantito all'interno dell'UE dal GDPR. 
· riconferma la validità della decisione 2010/87 relativa alle clausole contrattuali tipo (Standard Contract Clauses - SCC) per il trasferimento dei dati personali, identifica queste ultime come una valida alternativa allo scudo UE-USA. 
· riconferma che le SCC sono applicabili a tutti i paesi importatori di dati al di fuori dell’UE. 
· rafforza la protezione dei dati personali includendo un’ulteriore valutazione da cui far dipendere la validità della decisione 2010/87 (le SCC). 
· stabilisce che devono essere presenti meccanismi efficaci che consentano nella pratica di garantire il rispetto del livello di protezione richiesto dal GDPR. 
· decide infine che i trasferimenti di dati ai sensi della SCC devono essere sospesi o vietati in caso di violazione di tali clausole o in caso di impossibilità di rispettarle. 

2. Conseguenza Sentenza Schrems II 

La sentenza Schrems II ha evidenziato la necessità di aumentare gli standard di protezione dei dati personali e allo stesso tempo ha messo in discussione il fondamento giuridico su cui le aziende avevano basato il trasferimento dei dati personali dei cittadini europei verso gli Stati Uniti. Poiché la sentenza ha creato incertezza giuridica per le imprese e queste ultime, in virtù del principio di Accountability, dovranno effettuare opportuni ‘assessment’ al fine di non incorrere nell’applicazione delle sanzioni previste dal Regolamento per il non corretto trasferimento dei dati extra UE, l’European Data Protection Board o EDPB (Comitato Europeo per la Protezione dei Dati) ha pubblicato le risposte alle domande più frequenti delle imprese. 

Di seguito si propone una sintesi delle principali indicazioni fornite dall’EDPB. 

· Innanzitutto, poiché i trasferimenti basati sul Privacy Shield sono illegittimi ed espongono esportatori e importatori di dati alle sanzioni previste dal GDPR, la Corte ha identificato le ‘clausole contrattuali tipo’ come l’unico meccanismo di trasferimento di dati immediatamente disponibile. 
· Tuttavia, l’utilizzo delle SCC non offre di per sé un automatico strumento di garanzia. I trasferimenti vanno valutati caso per caso a seguito di un opportuno assessment per evitare un contrasto con le misure di garanzie richieste dal GDPR. 
· Per ‘assessment’ si intende un esame del contesto giuridico dello stato ricevente con lo scopo di valutare l’adeguatezza delle sue norme al fine di garantire contrattualmente un’equivalenza sostanziale fra il trattamento dei dati in UE e quello nel paese terzo che importa i dati. 
· Nel caso in cui la disciplina del paese importatore di dati non garantisce una protezione adeguata, le imprese dovranno introdurre garanzie supplementari, tenendo in considerazione le circostanze del trasferimento. 
· Tale valutazione fa parte degli obblighi dei titolari e dei responsabili che trasferiscono i dati in un paese terzo, in particolar modo per quanto riguarda l’individuazione delle ‘garanzie supplementari’. 
· Riguardo la valutazione sul livello di protezione garantito dalle norme dello stato importatore, la parte ricevente dovrà informare l’esportatore sulle cause invalidanti che non consentono di offrire opportune misure protettive, sia in ragione delle SCC che in conformità al GDPR. 
· Insieme alle SCC, anche le ‘norme vincolanti d’impresa’ (Binding Corporate Rules - “BCR”) rientrano nelle misure da adottare per bilanciare le leggi (del paese terzo) non conformi a quelle europee. Se nonostante l’utilizzo delle SCC e/o BCR il livello di protezione è inferiore a quello garantito dal paese europeo, l’azienda dovrà introdurre le ‘misure di garanzia supplementari’. 
· L’EDPB specifica che il trasferimento effettuato ex art. 46 GDPR avverrà solo in caso di effettiva equivalenza di protezione dei dati nell’ambito della normativa del paese dell’importatore dei dati. Tuttavia, se il livello di protezione raggiunto con l’integrazione delle misure di garanzia supplementari non è pari a quello europeo, l’azienda dovrà sospendere o porre fine al trasferimento di dati. Nel caso in cui volesse trasferire i dati, malgrado il differente livello di protezione, l’azienda è tenuta a informare il Garante Privacy. 
· La sentenza si applica a tutti i paesi al di fuori dell’Unione Europea, sia con gli USA che con i ‘paesi terzi’. 
· Per quanto riguarda gli Stati Uniti, per trasferire i dati ai sensi delle SCC, si deve dimostrare che l’importatore di dati sebbene soggetto alle leggi sulla sorveglianza americana, non abbia ricevuto in passato richieste dalle autorità governative (forze dell’ordine, agenzie di intelligence). Quindi, l’importatore degli Stati Uniti non deve aver mai ricevuto richieste per entrare in possesso dei dati ricevuti dagli esportatori europei. Inoltre, gli importatori devono dare conto della probabilità di ricevere questo tipo di richieste in futuro. Gli esportatori di dati dell’UE dovrebbero inviare questionari di due diligence agli importatori in USA per aiutarli a svolgere la valutazione del rischio. I questionari di due diligence sono richiesti anche per gli importatori di paesi terzi diversi dagli Stati Uniti. 
· Se non è presente un accordo di adeguatezza e se non è possibile applicare le previsioni dell’articolo 46, si possono trasferire i dati utilizzando la ‘procedura di deroga’ prevista dall’articolo 49 GDPR. È necessario rispettare le condizioni specifiche per l’applicazione di tale procedura.
Di seguito vengono presentate le condizioni specifiche: 
§ ci deve essere il consenso specifico, informato ed esplicito da parte dell’interessato; 
§ il trasferimento deve essere necessario per l’adempimento di un contratto e deve avvenire occasionalmente e non sistematicamente; 
§ il trasferimento ha finalità di pubblico interesse, ma non deve essere sistematico, bensì in conformità al principio di necessità. 
· I titolari del trattamento devono verificare che il responsabile del trattamento non invii i dati alle organizzazioni degli USA, per fare ciò devono 
§ controllare i contenuti dei contratti stipulati con i responsabili per verificare le destinazioni dei dati. 
§ controllare chi sono i sub-responsabili e se questi sono stati autorizzati dal contratto a tale trattamento dei dati. 
§ l’eventuale trasferimento da parte del soggetto responsabile, così come degli eventuali sub-responsabili, sarà ammissibile solo ed esclusivamente se disposto nell’ambito dell’accordo sottoscritto con il titolare. 
· Se un contratto ex articolo 28 GDPR prevede il trasferimento dei dati in USA e non sono presenti misure supplementari e non sono applicabili le deroghe dell’articolo 49 GDPR, il titolare deve negoziare una modifica o introdurre una clausola supplementare al contratto per vietare i trasferimenti negli Stati Uniti. 
§ Se è già presente un contratto con un paese terzo, è necessario valutare che il livello di protezione delle norme di quel paese sia adeguato, in caso contrario è necessario interrompere il trasferimento. 
· Infine, la Corte di Lussemburgo non ha ammesso alcun periodo di grazie relativamente ai trasferimenti. 

L’EDPB sta attualmente analizzando altre misure supplementari che possono essere introdotte dalle aziende. Queste misure possono essere di natura contrattuale, tecnica o organizzativa; l’EDPB fornirà maggiori informazioni una volta individuate. 

Avv. Nicolò Ghibellini 
(in collaborazione con Sara Desiati)

giovedì 14 giugno 2018

In attesa del decreto di adeguamento al GDPR


Da pochi giorni è divenuto attuativo il Regolamento UE 2016/679 per la tutela dei dati personali – meglio noto come General Data Protection Regulation o GDPR – e tante sono le problematiche già emerse.
Il GDPR era stato pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016 ed era entrato in vigore il ventesimo giorno successivo, ossia il 24 maggio 2016, ma concedeva un periodo di due anni – decorrenti dalla sua entrata in vigore – affinché gli Stati membri potessero allineare le rispettive normative interne alle disposizioni in esso contenute.
Ebbene, questo biennio di vacatio è terminato e, dal 25 maggio c.a., il Regolamento è definitivamente efficace e vincolante.
Allo stato attuale, solo quattro sono i Paesi che si sono adeguati – Austria, Germania, Slovacchia e Svezia – ma, trattandosi di Regolamento UE, alcuna complicazione dovrebbe evidenziarsi, non essendo necessario il recepimento da parte degli Stati dell’Unione e disapplicandosi, ex lege, la precedente normativa in tema di privacy – per l’Italia ci si riferisce al vecchio Codice della privacy (D.Lgs. 30 giugno 2003, n. 196).
In realtà, la questione non è così pacifica e lineare. Il problema, infatti, si pone proprio con riferimento a quelle norme del GDPR che, come vere e proprie “norme in bianco”, lasciano ampi margini di discrezionalità alle normative interne dei Paesi membri e richiedono, necessariamente, un coordinamento tra queste e il Regolamento, teso all’armonizzazione e alla coerenza complessiva dei singoli ordinamenti.
Per tale ragione, la L. 25 ottobre 2017, n. 163, delega al Governo l’adozione di un decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento, che l’Italia avrebbe dovuto adottare entro sei mesi dalla pubblicazione della suddetta.
L’art. 13 della legge delega rimanda, tuttavia, all’art. 31 della L. 24 dicembre 2012, n. 234, il quale prevede che, qualora gli schemi dei decreti legislativi siano inviati alle Commissioni parlamentari per il richiesto parere nei 30 giorni che precedono la scadenza dei termini di delega, questi ultimi siano prorogati di tre mesi. Ecco giustificata, allora, la proroga concessa al Governo italiano per l’adozione del decreto di adeguamento che, originariamente fissata al 21 maggio, è ora slittata al 21 agosto c.a.
Uno schema di decreto legislativo di adeguamento al GDPR è già stato sottoposto al vaglio del Garante che, lo scorso 22 maggio, ha manifestato parere favorevole, espresso, tuttavia, a maggioranza e non all’unanimità del Collegio.
Su svariati punti dello schema di decreto il Garante ha, infatti, dimostrato perplessità e riserve, suggerendo al legislatore delegato, per un verso, delle integrazioni e, per altro verso, delle modifiche più incisive, con l’obiettivo di rimuovere criticità e dubbi interpretativi, nonché bilanciare gli interessi coinvolti.
Alcune delle osservazioni formulate dal Garante riguardano:
  •    la CONSERVAZIONE dei DATI DI TRAFFICO TELEFONICO e TELEMATICO, poiché l’art. 11, comma 1, lett. i), nr. 3 dello schema di decreto conferma la deroga all’art. 132, commi 1 e 1bis del Codice della privacy, introdotta dall’art. 24 L. 167/2017, e prolunga a 72 mesi il termine di Data Retention di traffico telefonico e telematico, nonché dei dati relativi alle chiamate senza risposta. Questa scelta se, da un lato, risponde alla necessità di garantire mezzi di indagini efficaci a contrastare il terrorismo, dall’altro lato, come già sostenuto dal Garante nel parere datato 22 febbraio 2018, collide con il principio di proporzionalità tra esigenze investigative e limitazioni del diritto alla protezione dei dati dei cittadini (vedi sentenze CGUE: C-293/12, C-594/12, C-203/15, C- 698/15): maggiore, infatti, è il periodo in cui i dati vengono conservati nei server degli operatori di telecomunicazioni e maggiore è il rischio di una violazione dei dati personali stessi (c.d. data breach).
  •  il POTERE DI AGIRE e la RAPPRESENTANZA IN GIUDIZIO, nella misura in cui lo schema di decreto, modificando l’art. 154-ter del Codice, prevede che il Garante sia rappresentato in giudizio dall’Avvocatura dello Stato ai sensi dell’art. 1 R.D. n. 1611/1933 – patrocinio obbligatorio dell’Avvocatura per le Amministrazioni dello Stato – mentre il Garante suggerisce di applicare, più correttamente, l’art. 43 dello stesso R.D. n. 1611/1933, che prevede il patrocinio facoltativo per le Amministrazioni non statali autorizzate ad avvalersene;
  •  ILLECITI PENALI E AMMINISTRATIVI DERIVANTI DAL TRATTAMENTO ILLECITO DEI DATI, con riferimento ai quali si suggerisce di considerare, quale oggetto alternativo del dolo specifico anche il nocumento, in ragione dell’esigenza di presidiare con la sanzione penale condotte connotate da un simile disvalore, anche quando sorrette dal dolo di danno (danno d’immagine e reputazionale della vittima) e non solo da quello di profitto economico dell’autore dell’illecito.
  •   il CONSENSO DEL MINORE, poiché lo schema di decreto modifica l’art. 2-quinquies del Codice in maniera del tutto incoerente con altre disposizioni dell’ordinamento, consentendo, in relazione ai servizi della società d’informazione, “il trattamento dei dati personali del minore di età inferiore a sedici anni” quando, in altri settori del diritto, il limite d’età viene individuato nei quattordici anni (si pensi al cyberbullismo – art. 2, comma 1, L. 71/2017 – o al consenso all’adozione – art. 7, comma 2, L. 184/1983);
  • il RIUTILIZZO DI DATI A FINI DI RICERCA SCIENTIFICA O A FINI STATISTICI, poiché la mancata definizione, da parte del decreto, della nozione di “riutilizzo” determina incertezza interpretativa. Il Garante propone, perciò, ti sostituire il termine “riutilizzo” con quello “trattamento ulteriore da parte di terzi”, allargando le maglie di quella che è la definizione di riutilizzo delle informazioni del settore pubblico – applicabile solo a documenti contenenti dati pubblici nella disponibilità di pubbliche amministrazioni e di organismi di diritto pubblico – e inserendovi, in generale, i dati sensibili, giudiziari e quelli attinenti alla salute e alla vita sessuale (il cui trattamento è soggetto a particolari condizioni e limiti, imposti dal Regolamento).

Questi sono solo alcuni dei punti salienti affrontati nel parere ma, per una conoscenza approfondita di tutte le specifiche osservazioni, si rimanda al sito ufficiale del Garante per la protezione dei dati personali [https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8948011 ].
Il decreto ora è nelle mani delle Commissioni parlamentari, che lo stanno esaminando, e successivamente tornerà a Palazzo Chigi per il via libero definitivo del Consiglio dei Ministri.
Nulla esclude, pertanto, che l’attuale testo normativo possa subire degli interventi e delle modifiche, accogliendo magari quelli che sono stati i suggerimenti formulati dal Garante.

Ad oggi, perciò, ogni valutazione sul prossimo decreto legislativo è inevitabilmente sospesa. L’unica cosa certa è che il Regolamento UE 2016/679 è efficace e vincolante nei confronti di tutti i cittadini dell’Unione europea e che l’Italia, come gli altri Paesi che ancora non si sono uniformati, necessita di una normativa di coordinamento, che faccia da tramite tra il GDPR e la legislazione nazionale, eliminando l’attuale incertezza, non solo normativa ma anche pratica.