Sugli scudi della Privacy | Blog Wadsl
privacy_schield

Sugli scudi della Privacy

Articolo di Fabio Camerano Spelta Rapini

Il baluardo dei trasferimenti dei dati dall’Unione Europea agli Stati Uniti d’America è venuto meno.

Addio al Privacy Shield (letteralmente Scudo per la Privacy) e svolta repentina in materia: la Corte di Giustizia Europea, con la sentenza del 16 luglio 2020 nella causa C-311/18 promossa dall’ormai illustre Maximiliam Schrems, ha dichiarato invalida la decisione di esecuzione UE 2016/1250 della Commissione, con cui veniva stabilita l’adeguatezza del Privacy Shield per i trasferimenti dei dati personali dall’UE agli USA.

COSA E’ IL PRIVACY SHIELD?

Il “Privacy Shield” è un meccanismo di autocertificazione per le società stabilite negli USA che intendano ricevere dati personali dall’Unione europea. In particolare, tali società si impegnano a rispettare i principi in esso contenuti e a fornire agli interessati (ovvero tutti i soggetti i cui dati personali siano stati trasferiti dall’Unione europea) adeguati strumenti di tutela, pena l’eliminazione dalla lista delle società certificate.

ARMAGEDDON

L’impatto sarà dirompente: in particolare sulle attività delle piattaforme online e soprattutto dei social network, ma, in generale, di tutti gli operatori europei come Pubbliche Amministrazioni e privati che prestano servizi mediante utilizzo di soluzioni fornite da organizzazioni statunitensi.

Con GDPR sono stati ribaditi i limiti al trasferimento di dati personali in stati extra-UE, già fissati nella direttiva 95/46/CE, consentendo tali trasferimenti solo in presenza di specifici presupposti previsti nella normativa. In particolare, il Privacy Shield, sostanzialmente un meccanismo a cui le aziende statunitensi potevano sottoporsi volontariamente, era stato considerato adeguato da parte della Commissione Europea a garantire agli interessati un idoneo livello di protezione di tutela dei dati personali.

L’esistenza dello stesso consentiva ai titolari del trattamento europei il trasferimento dei dati presso fornitori di servizi USA senza dover ricorrere alle ulteriori misure di salvaguardia previste dal GDPR: il venir meno della decisione di esecuzione della Commissione Europea, annullata dalla sentenza della Corte di Giustizia, rende ora necessario individuare altri strumenti di garanzia tra quelli previsti dal Regolamento.

CLAUSOLE STANDARD

La Corte di Giustizia, oltre ad aver annullato il Privacy Shield, ha confermato la validità della decisione esecutiva della Commissione 2010/87/UE, modificata dalla decisione 2016/2297, con cui si erano adottate le clausole contrattuali tipo per il trasferimento di dati personali in Paesi terzi. Tale strumento è rimasto valido anche in seguito all’entrata in efficacia del GDPR, in quanto espressamente richiamato dall’art. 46, II comma, lett. c). Secondo tale previsione, in assenza di una decisione di adeguatezza, il titolare del trattamento ed il soggetto destinatario del flusso dei dati possono stipulare delle cc.dd. clausole standard che hanno lo scopo proprio di conferire agli interessati idonei strumenti di tutela dei loro diritti.

La decisione della Corte di Giustizia Europea fa salvo tale strumento, ma nel caso specifico di trasferimento in USA è necessario porre attenzione ad alcune precisazioni.

L’adozione delle clausole standard deve essere preceduta da un esame congiunto, da parte dei soggetti che intendono stipularle, del grado di tutela offerto agli interessati dalla normativa nazionale e, qualora tale tutela non sia sufficientemente adeguata a quella presente nell’Unione Europea, la semplice stipulazione della clausola standard non può ritenersi idonea a consentire il trasferimento dei dati.

CORTOCIRCUITO

La situazione è, allo stato, un vero e proprio “cortocircuito” determinato dal fatto che il provvedimento valuta non adeguato il livello di tutela offerto dalla legislazione statunitense (tanto da non considerare idoneo il “Privacy Shield”) e il rischio potrebbe essere quello di fondare il trasferimento dei dati su clausole standard contrattuali che però le singole Autorità di controllo potrebbero comunque ritenere non idonee come misura di salvaguardia.

COSA FARE?

Il GDPR prevede ulteriori ipotesi in cui il trasferimento dei dati personali verso un Paese extra-UE (in generale e non solo negli USA) potrebbe essere legittimamente posto in essere. Tali strumenti si caratterizzano per una vincolatività e gradazione differente potendo consistere, senza necessità di autorizzazione da parte dell’Autorità di controllo, in norme vincolanti di impresa (le c.d. binding corporate rules) che possono essere utilizzate nell’ambito dei rapporti infragruppo; clausole tipo adottate da autorità di controllo nazionali e approvate dalla Commissione; codici di condotta, a cui titolare e responsabile del trattamento si sottopongono; meccanismi di certificazione.

TUTTO QUI?

NO! Potrebbero essere adottate anche specifiche clausole contrattuali tra i vari soggetti coinvolti nel trasferimento e in tal caso sarà necessaria la previa autorizzazione dell’autorità di controllo.

In assenza degli strumenti di salvaguardia menzionati è possibile effettuare il trasferimento solo in presenza di specifiche deroghe, che comprendono, in fine e in sostanza, il consenso esplicito dell’interessato, previamente e debitamente informato dei possibili rischi dei trasferimenti, fatta salva l’esecuzione di un contratto (necessarietà) o la sussistenza di importanti motivi di interesse pubblico, oltre che la tutela di interessi vitali dell’interessato.

Se vuoi approfondire l’argomento leggi l’articolo del Sole 24 Ore.