I trasferimenti di dati personali verso paesi terzi (non solo USA) post Schrems II: aut inveniam viam aut faciam
di Roberta Di Vieto, Mattia Salerno e Paola Redaelli
Il trasferimento dei dati personali verso gli USA viene ancora una volta messo in discussione dalla Corte di Giustizia Europea che con la sentenza del 16 luglio scorso[1] non si è limitata a invalidare il Privacy Shield ma ha anche ridefinito la portata delle Standard Contractual Clauses (SCC) quale strumento giuridico idoneo a legittimare il trasferimento dei dati personali Oltreoceano.
Ma non è tutto.
Non sfugge agli operatori del settore che la sopraccitata sentenza, meglio nota come Schrems II, potrebbe presentare una portata ben più estesa, essendo destinata a produrre i propri effetti più in generale sui trasferimenti di dati personali verso paesi terzi che, ad oggi, non sono stati destinatari di una decisione di adeguatezza da parte della Commissione Europea ai sensi dell’art. 45 GDPR.
Tali considerazioni risultano peraltro confortate dalla posizione assunta dall’European Data Protection Board all’interno delle FAQ pubblicate lo scorso 24 luglio[2], finalizzate a fornire dei chiarimenti in ordine alla portata della sentenza Schrems II alla luce di alcune questioni sollevate da parte delle Autorità di Controllo Europee.
Analizziamo più nel dettaglio come si possono (forse devono) adeguare le organizzazioni europee che trasferiscono dati personali verso gli States e, in generale, verso un paese terzo.
I trasferimenti di dati personali verso paesi terzi post Schrems II
La Corte di Giustizia, investita del rinvio pregiudiziale dalla High Court Irlandese, è stata chiamata a pronunciarsi in relazione a diverse questioni concernenti il trasferimento di dati personali per scopi commerciali da società private di uno Stato Membro verso un Paese Terzo.
Con specifico riferimento ai trasferimenti di dati personali dall’Unione Europea verso operatori economici stabiliti negli USA, la Corte di Giustizia ha dichiarato in maniera tombale (e senza possibilità di replica) l’invalidità del Privacy Shield[3], ossia il meccanismo di autocertificazione per le società stabilite negli USA che intendevano ricevere dati personali dall’Unione europea.
La Corte di Giustizia, collocandosi lungo la direttrice già tracciata nella vicenda Schrems I che aveva già portato nel 2015 al naufragio dell’Approdo Sicuro (i.e. Safe Harbor)[4], ha rilevato che la normativa statunitense non garantirebbe un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione Europea dal GDPR, tenuto conto del fatto che, da un lato, i programmi di sorveglianza fondati sull’art. 702 FISA[5] e sull’E.O. 12333[6] non sarebbero conformi al principio di proporzionalità e che, dall’altro lato, gli interessati non disporrebbero di adeguata tutela giurisdizionale.
Fortunatamente le SCC rimangono uno strumento adeguato per trasferire i dati personali dall’Unione Europea verso gli USA: questa è stata la prima e forse troppo frettolosa constatazione dalla rapida lettura del dispositivo della sentenza Schrems II, in cui si legge che non sono emersi elementi idonei a inficiare la validità della decisione 2010/87/UE della Commissione Europea.
Tuttavia, analizzando le motivazioni della sentenza in commento emerge con inequivocabile chiarezza che il ricorso sic et simpliciter alle SCC non potrà avere luogo. La Corte, nell’espletare la sua funzione nomofilattica, ha chiarito[7] che lo strumento di tipo negoziale in parola – a cui titolari e responsabili del trattamento ricorrono onde sopperire la mancanza di decisione di adeguatezza nei confronti del paese terzo di destinazione dei dati – potrà essere utilizzato, previa verifica, caso per caso, in ordine alla conformità dell’ordinamento straniero di destinazione con gli standard europei e ferma restando, ove necessario, l’integrazione delle SCC con garanzie supplementari.
Alla luce degli elementi sopra richiamati, a parere di chi scrive, appare assai arduo poter ritenere che il trasferimento di dati personali oltre oceano possa ragionevolmente fondarsi sulle SCC, stante l’esito evidentemente negativo del test di compatibilità della normativa statunitense rispetto ai principi sanciti dal tessuto normativo del vecchio continente.
Ciò trova conforto anche alla luce della posizione assunta da alcune Autorità di Controllo Europee che si sono espresse in termini sostanzialmente analoghi: emblematico è il caso dell’Autorità Tedesca che ha richiesto alle imprese di optare per la scelta di provider all’interno dell’Unione Europea in luogo dei competitor americani, potendo l’utilizzo delle SCC con provider americani esporre il fianco a rischi di violazione della normativa europea.
Fermo quanto precede, alla luce del rinnovato quadro normativo di riferimento, in punto di trasferimenti di dati personali dall’Unione Europea verso gli USA, gli operatori potrebbero ricorrere agli ulteriori strumenti giuridici regolamentati dal GDPR che possano legittimare siffatti trasferimenti, al pari di qualsiasi altro trasferimento di dati personali verso paesi terzi.
Proprio in punto di trasferimenti di dati personali verso paesi terzi, le organizzazioni che fino ad oggi utilizzavano le SCC per legittimare siffatti trasferimenti, sono chiamate a svolgere una attenta valutazione sulle caratteristiche del paese di destinazione dei dati e della sua normativa locale rivedendo, ove necessario il meccanismo di trasferimento utilizzato.
Sul punto, infatti, ove il diritto del paese di destinazione dei dati non garantisca una protezione adeguata, occorrerà ricorrere ad uno degli altri meccanismi messi a disposizione dal GDPR per legittimare il flusso di dati verso paesi terzi in mancanza di una decisione di adeguatezza o ove le SCC non possano essere utilizzate.
In particolare, in contesti di gruppi societari internazionali si potrebbe ricorrere alle BCR ex art. 47 GDPR per legittimare i flussi intra-gruppo di dati personali.
Ove le strade sopra richiamate non fossero percorribili, si fa presente che, come ricordato dalla Corte di Giustizia[8], le organizzazioni potrebbero ricorrere allo strumento del tutto residuale rappresentato dalle deroghe ex art. 49 GDPR che stabiliscono, in modo preciso, a quali condizioni possono aver luogo trasferimenti di dati personali verso paesi terzi in assenza di una decisione di adeguatezza (art. 45 GDPR) o di garanzie adeguate (art. 46 GDPR).
Quali azioni devono intraprendere le organizzazioni?
Visto il nuovo equilibrio (probabilmente ancora precario in attesa di prese di posizioni da parte delle istituzioni europee e delle autorità di controllo) che si è venuto a configurare a seguito della sentenza Schrems II, è evidente che le organizzazioni non possono sicuramente rimanere inerti, non foss’altro per il rischio sanzionatorio cui sono esposte a fronte di una violazione delle disposizioni ex artt. 44 ss GDPR in tema di trasferimento di dati personali verso un paese terzo.[9]
Pertanto, al fine di comprendere quali specifiche azioni intraprendere, le organizzazioni devono avere piena contezza e consapevolezza in ordine alle situazioni e/o ai processi aziendali che comportano un trasferimento di dati personali fuori dallo SEE.
Sul punto, un utile supporto per lo svolgimento di tale attività di mappatura è rappresentato dal Registro dei trattamenti ex art. 30 GDPR che, se tenuto correttamente, dovrebbe già consentire al titolare del trattamento di avere piena contezza dei processi aziendali che comportano trasferimenti di dati personali verso paesi terzi.
Una volta conclusa tale attività di screening, si renderà necessario valutare quale sia lo strumento giuridico utilizzato per fondare il trasferimento dei dati personali nei confronti di tali soggetti siti in paesi terzi onde poter delineare (prima) e intraprendere (poi) le necessarie azioni volte a consentire che siffatto trasferimento avvenga nel pieno rispetto del diritto europeo.
Pertanto, qualora i trasferimenti in parola si fondassero sulle SCC, le organizzazioni europee dovrebbero effettuare, di concerto con l’importatore di dati, un’assessment case by case al fine di verificare se il diritto locale del paese terzo di destinazione garantisca una protezione adeguata alla luce del diritto dell’Unione Europea e, in caso di esito negativo, provvedere ad adottare (a livello contrattuale e ove possibile) delle misure supplementari pe garantire tale protezione. In ogni caso, resta fermo e impregiudicato il fatto che ove l’adozione di tale misure supplementari non sia percorribile, il trasferimento di dati personali verso il paese terzo deve essere sospeso o terminato.
Nel contesto di tali attività un key role sarà assunto dal Data Protection Officer che dovrà, in ragione dei suoi compiti[10], farsi parte attiva al fine di informare e supportare il titolare del trattamento nell’identificazione delle soluzioni più idonee per garantire l’osservanza delle disposizioni dettate dal GDPR, fornendo, ove richiesto, un proprio parere in ordine alle scelte compiute dal titolare del trattamento. Stante il ruolo proteiforme del DPO, quest’ultimo sarà in ogni caso chiamato a sorvegliare la corretta osservanza da parte del titolare del trattamento delle prescrizioni contenute nel GDPR provvedendo, a seconda dei casi, ad effettuare specifiche attività di verifica nella materia de qua.
Conclusioni
In conclusione, la sentenza della CJEU ha sicuramente rimesso in discussione il quadro normativo di riferimento in punto di trasferimenti di dati personali verso gli USA ma, probabilmente, gli effetti di tale pronuncia si stanno sempre più propagando in relazione, in generale, ai trasferimenti di dati personali verso i paesi terzi che non sono stati destinatari di una decisione di adeguatezza da parte della Commissione Europea.
Non sono mancate, infatti, le prime prese di posizione in tal senso anche da parte dell’European Data Protection Board[11].
In tale contesto, resta fermo un punto che gli operatori devono tenere in debita considerazione: l’approccio adottato dal GDPR in tema di trasferimenti internazionali non è di tipo one-size-fits-all, sicché gli operatori sono chiamati a svolgere uno sforzo interpretativo sempre maggiore al fine di individuare, nel quadro dei meccanismi delineati dal Capo V del GDPR, lo specifico strumento giuridico idoneo a consentire il trasferimento di dati personali in favore del paese terzo di volta in volta interessato.
Sul punto, un importante elemento da tenere in debita posizione sarà rappresentato dalla presa di posizione ufficiale da parte del Garante Privacy Italiano.
[1] Corte di giustizia dell’Unione europea, sentenza del 16.07.2020, C-311/18, Data Protection Commissioner/Maximilian Schrems e Facebook Ireland.
[2] https://edpb.europa.eu/our-work-tools/our-documents/other/frequently-asked-questions-judgment-court-justice-european-union_en.
[3] Decisione di Esecuzione (UE) 2016/1250 della Commissione del 12 luglio 2016 a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy.
[4] Rif. Corte di giustizia dell’Unione europea, sentenza del 6.10.2015, C‑498/16, Maximilian Schrems c. Facebook Ireland Limited.
[5] Foreign Intelligence Surveillance Act del 1978.
[6] E.O. 12333: United States Intelligence Activities, Federal Register Vol. 40, No 235 (8 December 1981)
[7] Si veda, in particolare, punto 134 ss. di Corte di giustizia dell’Unione europea, sentenza del 16.07.2020, C-311/18, Data Protection Commissioner/Maximilian Schrems e Facebook Ireland.
[8] Si veda, in particolare, punto 202 di Corte di giustizia dell’Unione europea, sentenza del 16.07.2020, C-311/18, Data Protection Commissioner/Maximilian Schrems e Facebook Ireland.
[9] Ai sensi dell’art. 83, par. 5, lett. c), Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016: “ In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore: […] c) i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49”.
[10] Si veda in particolare, art. 39 Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016.
[11] Sul punto, si veda, European Data Protection Board, Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems adottate il 23 luglio 2020, https://edpb.europa.eu/our-work-tools/our-documents/other/frequently-asked-questions-judgment-court-justice-european-union_en.
Autori
