Come noto la Corte di giustizia dell’Unione europea (CGUE) si è pronunciata lo scorso 16 luglio (c.d. “Sentenza Schrems II”) in merito al regime di trasferimento dei dati tra l’Unione europea e gli Stati Uniti invalidando la decisione di adeguatezza del “Privacy Shield, adottata nel 2016 dalla Commissione europea in seguito alla decadenza dell’accordo “Safe Harbor”.
Nella stessa sentenza la CGUE ha inoltre ritenuta valida la decisione 2010/87 relativa alle clausole contrattuali tipo (SCC) per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi.
Il Comitato Europeo per la Protezione dei Dati (EDPB) ha predisposto delle FAQ relative alla sentenza Schrems e ai suoi effetti che si sono rivelate utili per risolvere, almeno in parte, alcuni dubbi.
Nel suddetto documento l’EDPB ha chiarito che in generale, per i paesi terzi, la soglia fissata dalla Corte si applica anche a tutte le garanzie adeguate ai sensi dell’articolo 46 del GDPR delle quali ci si avvalga per trasferire dati dal SEE a qualsiasi paese terzo.
La normativa statunitense cui fa riferimento la Corte (vale a dire l’articolo 702 della FISA e l’Executive Order (EO) 12333) si applica a qualsiasi trasferimento verso gli Stati Uniti per via elettronica che rientra nell’ambito di applicazione della suddetta normativa, indipendentemente dallo strumento utilizzato per il trasferimento.
Nello specifico l’EDPB, sul presupposto dell’inidoneità della normativa statunitense nel garantire un livello di protezione sostanzialmente equivalente, ha precisato che la possibilità o meno di trasferire dati personali sulla base di SCC dipende dall’esito della valutazione che si dovrà compiere, tenuto conto delle circostanze del trasferimento e delle misure supplementari eventualmente messe in atto. Le misure supplementari unitamente alle SCC, alla luce di un’analisi caso per caso delle circostanze del trasferimento, dovrebbero garantire che la normativa statunitense non interferisca con l’adeguato livello di protezione garantito dalle SCC e dalle misure supplementari stesse.
Se si è giunti alla conclusione che, tenuto conto delle circostanze del trasferimento e delle eventuali misure supplementari, non vi sarebbero adeguate garanzie, occorre sospendere o porre fine al trasferimento di dati personali. Tuttavia, se si intende continuare ciononostante a trasferire i dati, occorre informarne la SA competente.
(Nella foto: L’Avv. MIchele Iaselli, Coordinatore del Comitato Scientifico di Federprivacy)
La valutazione della Corte si applica anche con riguardo alle norme vincolanti d’impresa (BCR), in quanto la normativa statunitense prevarrà anche sull’applicazione di quest’ultimo strumento. Anche in questo caso la possibilità di trasferire o meno dati personali sulla base delle BCR dipenderà dall’esito della valutazione, tenuto conto delle circostanze del trasferimento e delle misure supplementari eventualmente messe in atto. Le misure supplementari unitamente alle BCR, alla luce di un’analisi caso per caso delle circostanze del trasferimento, dovrebbero garantire che la normativa statunitense non interferisca con l’adeguato livello di protezione garantito dalle BCR e dalle misure supplementari stesse. In caso contrario si perverrà alle stesse conclusioni già evidenziate per le SCC.
Il Comitato europeo si è inoltre riservato di valutare le conseguenze della sentenza sugli strumenti di trasferimento diversi dalle SCC e dalle BCR. Difatti, la sentenza chiarisce che il parametro per l’adeguatezza delle garanzie di cui all’art. 46 del GDPR è costituito dalla “equivalenza sostanziale”. Inoltre l’EDPB ha specificato che è ancora possibile trasferire dati dal SEE agli Stati Uniti sulla base delle deroghe previste dall’articolo 49 del GDPR, purché siano soddisfatte le condizioni di cui a tale articolo.
In particolare, è opportuno ricordare che, quando i trasferimenti sono basati sul consenso dell’interessato, esso dovrebbe essere: esplicito, specifico con riguardo al particolare trasferimento o insieme di trasferimenti (il che significa che l’esportatore deve assicurarsi di ottenere un consenso specifico prima che il trasferimento sia messo in atto anche se ciò avviene dopo la raccolta dei dati), e informato.
Per quanto riguarda i trasferimenti necessari all’esecuzione di un contratto tra l’interessato e il titolare del trattamento, occorre tenere presente che i dati personali possono essere trasferiti solo su base occasionale.
In relazione, poi, ai trasferimenti necessari per importanti motivi di interesse pubblico (che devono essere riconosciuti nella legislazione dell’UE o degli Stati membri), il Comitato europeo per la protezione dei dati ricorda che il requisito essenziale per l’applicabilità di tale deroga è la constatazione della sussistenza di importanti motivi di interesse pubblico, e non già la natura del soggetto coinvolto nel trasferimento.
In definitiva, quindi, va riconosciuto che l’EDPB nel proprio documento ha sostanzialmente fornito un’interpretazione della “Sentenza Schrems II” meno “catastrofica” rispetto a posizioni dottrinarie anche autorevoli di casa nostra, riconoscendo la possibilità di trasferimenti verso gli USA sulla base dei più noti strumenti previsti dal GDPR che però siano fondati sull’essenziale parametro dell’equivalenza sostanziale di trattamento. Naturalmente la problematica non è affatto semplice, ma come già evidenziato nel documento dobbiamo attenderci ulteriori suggerimenti del Comitato Europeo.