La Corte di Giustizia Eurupea con la sentenza del 16 luglio 2020 nella causa C-311/18, promossa dal noto attivista Maximiliam Schrems, ha dichiarato invalida la decisione di esecuzione (UE) 2016/1250 della Commissione, con cui veniva stabilita l’adeguatezza del cd. Privacy Shield per i trasferimenti dei dati personali dall’Unione Europea agli Stati Uniti d’America.
La decisione è destinata ad avere un impatto non indifferente sulle attività delle piattaforme online, come Facebook, Linkedin, Instagram, etc., per tutti gli operatori europei, comprese le pubbliche amministrazioni, nonché per qualsiasi persona che per prestare i propri servizi utilizzi software e soluzioni resi da aziende statunitensi.
Per comprendere la questione è necessario tener conto che con il Regolamento (UE) n. 679/2016 (GDPR) sono stati ribaditi i limiti al trasferimento di dati personali in stati extra-UE che erano già fissati nella direttiva 95/46/CE, consentendo tali trasferimenti solo in presenza di specifici presupposti previsti nella normativa.
In particolare, il Privacy Shield, sostanzialmente un meccanismo a cui le aziende statunitensi potevano sottoporsi volontariamente, era stato considerato adeguato da parte della Commissione Europea a garantire agli interessati un idoneo livello di protezione di tutela dei dati personali.
L’esistenza dello stesso consentiva ai titolari del trattamento europei il trasferimento dei dati presso fornitori di servizi USA senza dover ricorrere alle ulteriori misure di salvaguardia previste dal GDPR.
Il venir meno della decisione di esecuzione della Commissione Europea, annullata dalla sentenza della Corte di Giustizia, rende ora necessario individuare altri strumenti di garanzia tra quelli previsti dal Regolamento.
Le clausole standard
La Corte di Giustizia oltre ad aver annullato il Privacy Shield ha confermato la validità della decisione esecutiva della Commissione 2010/87/UE, modificata dalla decisione 2016/2297, con cui la stessa Commissione Europea aveva adottato le clausole contrattuali tipo per il trasferimento di dati personali in Paesi terzi.
Tale strumento è rimasto valido anche in seguito all’entrata in efficacia del GDPR, in quanto espressamente richiamato dall’art. 46, 2° comma, lett. c). Secondo tale previsione, in assenza di una decisione di adeguatezza, il titolare del trattamento ed il soggetto destinatario del flusso dei dati possono stipulare delle clausole standard (il cui testo è allegato alla sopra richiamata decisione esecutiva e messo a disposizione dalla Commissione) che hanno lo scopo proprio di conferire agli interessati cui i dati personali si riferiscono degli strumenti di tutela dei loro diritti.
Orbene, pur se la decisione della Corte di Giustizia Europea fa salvo tale strumento, nel caso specifico di trasferimento in USA è necessario però porre attenzione ad alcune precisazioni contenute nel dispositivo.
La statuizione contenuta al punto 142 della sentenza infatti precisa che “il titolare del trattamento stabilito nell’Unione e il destinatario del trasferimento di dati personali sono tenuti a verificare, preliminarmente, il rispetto, nel paese terzo interessato, del livello di protezione richiesto dal diritto dell’Unione. Il destinatario di tale trasferimento ha, se del caso, l’obbligo, in forza della stessa clausola 5, lettera b), di informare il titolare del trattamento della sua eventuale impossibilità di conformarsi a tali clausole, in tal caso incombe a quest’ultimo di sospendere il trasferimento di dati e/o di risolvere il contratto“.
Ciò significa che l’adozione delle clausole standard deve essere preceduta da un esame congiunto, da parte dei soggetti che intendono stipularle, del grado di tutela offerto agli interessati dalla normativa nazionale e che, qualora tale tutela non sia sufficientemente adeguata a quella presente nell’Unione Europea, la semplice stipulazione della clausola standard non può ritenersi idonea a consentire il trasferimento dei dati.
Ebbene, la situazione che si è determinata in seguito alla sentenza della Corte di Giustizia crea un “cortocircuito” determinato dal fatto che già il provvedimento in sé valuta non adeguato il livello di tutela offerto dalla legislazione statunitense (tanto da non considerare idoneo il “Privacy Shield”) e pertanto il rischio potrebbe essere di fondare il trasferimento dei dati su clausole standard contrattuali che però le singole Autorità di controllo potrebbe comunque ritenere non idonee come misura di salvaguardia (funzione che la Corte ribadisce in capo alle varie Authorities nazionali).
Gli altri strumenti di salvaguardia
D’altra parte gli artt. 46, 47 e 49 del GDPR prevedono ulteriori ipotesi in cui il trasferimento dei dati personali verso un Paese extra-UE (in generale e non solo negli USA) potrebbe essere legittimamente posto in essere.
Tali strumenti si caratterizzano per una vincolatività e gradazione differente potendo consistere, senza necessità di autorizzazione da parte dell’Autorità di controllo:
– in norme vincolanti di impresa (le cd. Binding corporate rules) che possono essere utilizzate nell’ambito dei rapporti infragruppo;
– clausole tipo adottate da autorità di controllo nazionali e approvate dalla Commissione;
– codici di condotta, a cui titolare e responsabile del trattamento si sottopongono;
– meccanismi di certificazione.
Inoltre, potrebbero essere adottate anche specifiche clausole contrattuali tra i vari soggetti coinvolti nel trasferimento ma in tal caso sarà necessaria la previa autorizzazione dell’autorità di controllo.
In assenza degli strumenti di salvaguardia sopra enunciati (comprese le decisioni di adeguatezza, le clausole standard e gli altri indicati) è possibile effettuare il trasferimento solo in presenza di specifiche deroghe, che comprendono:
a) il consenso esplicito dell’interessato, che però dovrà essere previamente informato dei possibili rischi dei trasferimenti;
b) l’esecuzione di un contratto o di misure precontrattuali per cui sia necessario il trasferimento. In tal caso il contratto o le misure devono intercorrere direttamente tra titolare e interessato;
c) la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato. In tale ipotesi il contratto non intercorre direttamente tra titolare e interessato, ma egli si configura come un beneficiario di un contratto stipulato da altri soggetti.
d) importanti motivi di interesse pubblico, che deve essere riconosciuto dal diritto dell’Unione o dello Stato membro a cui appartiene il titolare del trattamento;
e) l’accertamento, difesa o esercizio di un diritto in sede giudiziaria;
f) la necessità di tutelare interessi vitali dell’interessato (ed egli non possa prestare il consenso)
g) il trasferimento sia relativo a dati contenuti in un registro pubblico (ma in tal caso non può riguardare la totalità dei dati presenti o intere categorie).
Infine, in assenza di una qualsiasi di queste deroghe e delle misure di salvaguardia o della decisione di adeguatezza il GDPR consente di effettuare un trasferimento sporadico verso Paesi terzi relativamente ad un numero limitato di interessati basandolo sull’interesse legittimo del titolare, purchè questi abbia valuti tutte le circostanze e fornisca adeguate garanzie. In tal caso sarà necessario informare l’autorità di controllo ed integrare l’informativa all’interessato con la descrizione degli interessi legittimi cogenti perseguiti.
Come regolare i trasferimenti adesso
Nelle more che la Commissione Europea o l’EDPB adottino eventuali provvedimenti conseguenti alla decisione della Corte di Giustizia, così come era accaduto precedentemente quando fu annullato il cd. “Safe Harbour”, è necessario valutare quali misure porre in essere per non rischiare di incorrere in una violazione della previsione di cui all’art. 44 GDPR (che, è bene ricordarlo, può essere sanzionata con pagamento di una somma fino a 20 milioni di euro o il 4% del fatturato globale complessivo se maggiore).
Il nostro pensiero non va tanto alle grandi piattaforme che svolgono il ruolo di titolari del trattamento e che trasferiscono i dati nell’ambito di una loro dislocazione territoriale mondiale, ma a coloro che, svolgendo attività in Europa in favore di clienti si avvalgono di servizi e strumenti che, come spesso accade, sono forniti da società statunitensi e spesso erogati da server collocati oltreoceano (per i quali si rende necessario il trasferimento dei dati in USA).
Il primo passo da compiere è sicuramente quello di controllare il registro dei trattamenti o comunque l’elenco dei soggetti che sono stati nominati Responsabili del trattamento nell’ambito di un contratto di fornitura di servizi.
Se nei contratti oppure per la collocazione geografica dei sistemi di erogazione dei servizi si verifica un trasferimento di dati verso gli Stati Uniti sarà necessario controllare se è possibile innanzitutto selezionare il luogo geografico in cui sono collocati i data center (i grandi operatori di servizi in cloud come Amazon o Microsoft già consentono di effettuare questa scelta).
Qualora non vi sia la possibilità di optare per soluzioni di erogazione nell’ambito dell’Unione Europea si dovrà valutare l’ipotesi di anonimizzare il trattamento che viene trasferito in USA, e qualora ciò fosse impossibile per la tipologia di servizio erogato sarà necessario valutare l’adozione di uno strumento alternativo di salvaguardia.
Sembra opportuno evidenziare che, per le considerazioni sopra svolte, in questo specifico frangente il solo utilizzo delle clausole standard (che comunque comporterebbe la contrattualizzazione delle stesse con ciascun fornitore) per il trasferimento dei dati personali in USA potrebbe non essere sufficiente. Come abbiamo visto, infatti, la sentenza della Corte di Giustizia già contiene in sé una valutazione di non adeguatezza del sistema giuridico statunitense e quindi nel caso dette clausole dovranno essere integrate, ove possibile, con specifici meccanismi che consentano agli interessati di esercitare un effettivo ricorso nei confronti delle autorità americane (ed in ogni caso sarebbe necessaria l’autorizzazione dell’autorità di controllo per tale integrazione).
Al momento in cui scriviamo, inoltre, non esistono codici di condotta o meccanismi di certificazione in essere che disciplinino i trasferimenti di dati personali in USA, quindi non appare percorribile, per il momento, l’applicazione di tali ulteriori strumenti.
In via generalizzata, quindi, sembra che la strada più agevole nell’immediato sia quella di richiedere agli interessati un consenso espresso al trasferimento dei loro dati personali negli Stati Uniti, consenso però che dovrà essere fornito solo previa una debita informativa in merito ai possibili rischi che il trasferimento comporta.
Ricordando però che il consenso al trattamento è sempre revocabile, l’utilizzo di tale base giuridica quale deroga al divieto di trasferimento di dati all’estero potrebbe ingenerare dei problemi applicativi nel momento in cui ai fini dell’erogazione di un servizio in favore dell’interessato fosse necessario trasferire il dato all’estero.
In tali ipotesi, che necessitano però di una valutazione in concreto dei rapporti tra le parti, potranno soccorrere le previsioni secondo cui il trasferimento verso un paese extra-UE è legittimo se operato al fine di erogare servizi contrattualmente previsti in favore dell’interessato sia che il medesimo risulti essere parte del rapporto sia nel caso in cui ricopra il ruolo di terzo beneficiario dello stesso.