SENTENZA SCHREMS II E ABOLIZIONE DEL PRIVACY SHIELD
1. la Sentenza Schrems II
Come noto, con la sentenza C-311/18 del 16.07.2020 (cd. Schrems II) la Corte di Giustizia Europea ha invalidato la decisione 2016/1250 della Commissione e ha riaffermato la validità della decisione 2010/87.
Al fine di meglio comprendere l’effettiva portata della pronuncia in commento, appare utile ricordare che:
· La decisione 2016/1250 della Commissione riguardava l'adeguatezza della protezione offerta dal regime dello scudo UE- USA per la privacy (c.d. ‘Privacy Shield’)
· La decisione 2010/87 aveva ad oggetto le clausole contrattuali tipo che erano state individuate come base giuridica per giustificare e autorizzare il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi.
1.1 La sentenza Schrems I
Maximilian Schrems (giurista austriaco) già nel 2015 aveva sollecitato la Corte di giustizia ad invalidare il meccanismo ‘Safe Harbour’.
Più nello specifico, in quell’occasione:
· aveva denunciato le pratiche di trasferimento dati di Facebook, in quanto Facebook Ireland inviava i dati personali dei cittadini europei ai server di Facebook Inc, quest’ultima stabilita negli Stati Uniti;
· evidenziava, come il diritto statunitense avrebbe imposto a Facebook Inc. di trasmettere i dati personali ottenuti ad alcune autorità locali, quali la National Security Agency (NSA) e le Federal Bureau of Investigation (FBI).
La tesi di Schrems è stata fatta propria dalla Corte di Giutizia, la quale con la sentenza C-362/14 (c.d. ‘Schrems I’) ha invalidato il c.d. "Safe Harbour" (sistema di garanzie oggetto della decisione 2000/520).
1.2 Entrata in vigore del GDPR
Con l’entrata in vigore del GDPR, sono state introdotte nuove previsioni in materia di trasferimento dei dati personali extra UE. Tra le modalità ritenute legittime dal GDPR per giustificare e trasferire i dati, si ricordano:
· la sussistenza di una decisione di adeguatezza da parte della Commissione Europea, per cui "il paese terzo, un territorio o uno o più settori specifici all'interno del paese terzo, o l'organizzazione internazionale in questione garantiscono un livello di protezione adeguato" (art. 45 GDPR)
· l'utilizzo delle "clausole tipo di protezione dei dati" adottate dalla Commissione Europea mediante una procedura ad hoc (art. 46 GDPR).
1.3 Il contenuto della sentenza Schrems II
In occasione della sentenza Schrems II, la Corte si è dovuta esprimere in merito alla validità del c.d. "Privacy Shield" (modello basato sulla decisione di adeguatezza 2016/1250 della commissione e sulle clausole contrattuali standard contenute nella decisione 2010/87).
Sino al 16 luglio 2020, l’adeguatezza nella gestione dei dati da parte delle società americane era garantita dal Privacy Shield, che era l’accordo che aveva sostituito fino a quel momento il precedente ‘Safe Harbour’. Attraverso il Privacy Shield, era stato introdotto un meccanismo di autocertificazione per le società stabilite negli USA che ricevevano dati personali dalla UE. In particolare, le società per essere certificate e comparire nella Privacy Shield List dovevano impegnarsi a rispettare i principi contenuti nel Privacy Shield che di fatto richiamavano le tutele previste dal GDPR.
Con la decisione Schrems II, la Corte ha confermato che il contesto normativo degli Stati Uniti non era idoneo ad assicurare tutele e garanzie previste dal diritto europeo, in quanto gli strumenti legislativi americani di sorveglianza pubblica non sono circoscritti in modo da soddisfare i requisiti richiesti dal principio di proporzionalità del GDPR, non essendo limitati allo strettamente necessario.
Si è giunti così all’invalidazione del Privacy Shield. Contestualmente, la Corte ha giudicato valida la Decisione 2010/87 relativa alle Clausole Contrattuali Tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi.
Qui di seguito si sintetizzano i passaggi principali della pronuncia in commento.
Invalidando la decisione 2016/1250, la Corte
· afferma che il livello di protezione richiesto per il trasferimento dei dati personali deve essere tale da garantire ai ‘data subject’ un livello sostanzialmente equivalente a quello garantito all'interno dell'UE dal GDPR.
· riconferma la validità della decisione 2010/87 relativa alle clausole contrattuali tipo (Standard Contract Clauses - SCC) per il trasferimento dei dati personali, identifica queste ultime come una valida alternativa allo scudo UE-USA.
· riconferma che le SCC sono applicabili a tutti i paesi importatori di dati al di fuori dell’UE.
· rafforza la protezione dei dati personali includendo un’ulteriore valutazione da cui far dipendere la validità della decisione 2010/87 (le SCC).
· stabilisce che devono essere presenti meccanismi efficaci che consentano nella pratica di garantire il rispetto del livello di protezione richiesto dal GDPR.
· decide infine che i trasferimenti di dati ai sensi della SCC devono essere sospesi o vietati in caso di violazione di tali clausole o in caso di impossibilità di rispettarle.
2. Conseguenza Sentenza Schrems II
La sentenza Schrems II ha evidenziato la necessità di aumentare gli standard di protezione dei dati personali e allo stesso tempo ha messo in discussione il fondamento giuridico su cui le aziende avevano basato il trasferimento dei dati personali dei cittadini europei verso gli Stati Uniti. Poiché la sentenza ha creato incertezza giuridica per le imprese e queste ultime, in virtù del principio di Accountability, dovranno effettuare opportuni ‘assessment’ al fine di non incorrere nell’applicazione delle sanzioni previste dal Regolamento per il non corretto trasferimento dei dati extra UE, l’European Data Protection Board o EDPB (Comitato Europeo per la Protezione dei Dati) ha pubblicato le risposte alle domande più frequenti delle imprese.
Di seguito si propone una sintesi delle principali indicazioni fornite dall’EDPB.
· Innanzitutto, poiché i trasferimenti basati sul Privacy Shield sono illegittimi ed espongono esportatori e importatori di dati alle sanzioni previste dal GDPR, la Corte ha identificato le ‘clausole contrattuali tipo’ come l’unico meccanismo di trasferimento di dati immediatamente disponibile.
· Tuttavia, l’utilizzo delle SCC non offre di per sé un automatico strumento di garanzia. I trasferimenti vanno valutati caso per caso a seguito di un opportuno assessment per evitare un contrasto con le misure di garanzie richieste dal GDPR.
· Per ‘assessment’ si intende un esame del contesto giuridico dello stato ricevente con lo scopo di valutare l’adeguatezza delle sue norme al fine di garantire contrattualmente un’equivalenza sostanziale fra il trattamento dei dati in UE e quello nel paese terzo che importa i dati.
· Nel caso in cui la disciplina del paese importatore di dati non garantisce una protezione adeguata, le imprese dovranno introdurre garanzie supplementari, tenendo in considerazione le circostanze del trasferimento.
· Tale valutazione fa parte degli obblighi dei titolari e dei responsabili che trasferiscono i dati in un paese terzo, in particolar modo per quanto riguarda l’individuazione delle ‘garanzie supplementari’.
· Riguardo la valutazione sul livello di protezione garantito dalle norme dello stato importatore, la parte ricevente dovrà informare l’esportatore sulle cause invalidanti che non consentono di offrire opportune misure protettive, sia in ragione delle SCC che in conformità al GDPR.
· Insieme alle SCC, anche le ‘norme vincolanti d’impresa’ (Binding Corporate Rules - “BCR”) rientrano nelle misure da adottare per bilanciare le leggi (del paese terzo) non conformi a quelle europee. Se nonostante l’utilizzo delle SCC e/o BCR il livello di protezione è inferiore a quello garantito dal paese europeo, l’azienda dovrà introdurre le ‘misure di garanzia supplementari’.
· L’EDPB specifica che il trasferimento effettuato ex art. 46 GDPR avverrà solo in caso di effettiva equivalenza di protezione dei dati nell’ambito della normativa del paese dell’importatore dei dati. Tuttavia, se il livello di protezione raggiunto con l’integrazione delle misure di garanzia supplementari non è pari a quello europeo, l’azienda dovrà sospendere o porre fine al trasferimento di dati. Nel caso in cui volesse trasferire i dati, malgrado il differente livello di protezione, l’azienda è tenuta a informare il Garante Privacy.
· La sentenza si applica a tutti i paesi al di fuori dell’Unione Europea, sia con gli USA che con i ‘paesi terzi’.
· Per quanto riguarda gli Stati Uniti, per trasferire i dati ai sensi delle SCC, si deve dimostrare che l’importatore di dati sebbene soggetto alle leggi sulla sorveglianza americana, non abbia ricevuto in passato richieste dalle autorità governative (forze dell’ordine, agenzie di intelligence). Quindi, l’importatore degli Stati Uniti non deve aver mai ricevuto richieste per entrare in possesso dei dati ricevuti dagli esportatori europei. Inoltre, gli importatori devono dare conto della probabilità di ricevere questo tipo di richieste in futuro. Gli esportatori di dati dell’UE dovrebbero inviare questionari di due diligence agli importatori in USA per aiutarli a svolgere la valutazione del rischio. I questionari di due diligence sono richiesti anche per gli importatori di paesi terzi diversi dagli Stati Uniti.
· Se non è presente un accordo di adeguatezza e se non è possibile applicare le previsioni dell’articolo 46, si possono trasferire i dati utilizzando la ‘procedura di deroga’ prevista dall’articolo 49 GDPR. È necessario rispettare le condizioni specifiche per l’applicazione di tale procedura.
Di seguito vengono presentate le condizioni specifiche:
§ ci deve essere il consenso specifico, informato ed esplicito da parte dell’interessato;
§ il trasferimento deve essere necessario per l’adempimento di un contratto e deve avvenire occasionalmente e non sistematicamente;
§ il trasferimento ha finalità di pubblico interesse, ma non deve essere sistematico, bensì in conformità al principio di necessità.
· I titolari del trattamento devono verificare che il responsabile del trattamento non invii i dati alle organizzazioni degli USA, per fare ciò devono
§ controllare i contenuti dei contratti stipulati con i responsabili per verificare le destinazioni dei dati.
§ controllare chi sono i sub-responsabili e se questi sono stati autorizzati dal contratto a tale trattamento dei dati.
§ l’eventuale trasferimento da parte del soggetto responsabile, così come degli eventuali sub-responsabili, sarà ammissibile solo ed esclusivamente se disposto nell’ambito dell’accordo sottoscritto con il titolare.
· Se un contratto ex articolo 28 GDPR prevede il trasferimento dei dati in USA e non sono presenti misure supplementari e non sono applicabili le deroghe dell’articolo 49 GDPR, il titolare deve negoziare una modifica o introdurre una clausola supplementare al contratto per vietare i trasferimenti negli Stati Uniti.
§ Se è già presente un contratto con un paese terzo, è necessario valutare che il livello di protezione delle norme di quel paese sia adeguato, in caso contrario è necessario interrompere il trasferimento.
· Infine, la Corte di Lussemburgo non ha ammesso alcun periodo di grazie relativamente ai trasferimenti.
L’EDPB sta attualmente analizzando altre misure supplementari che possono essere introdotte dalle aziende. Queste misure possono essere di natura contrattuale, tecnica o organizzativa; l’EDPB fornirà maggiori informazioni una volta individuate.
Avv. Nicolò Ghibellini
(in collaborazione con Sara Desiati)