Trasferimento di dati personali negli USA alla luce della recente sentenza della Corte di Giustizia C-311/18, c.d. “Schrems II”
Avv. Mariaelena Giorcelli
Redattore
Il Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento del dati personali, nonché alla libera circolazione di tali dati (nel seguito: “Regolamento Privacy”) stabilisce che il trasferimento di dati personali nei paesi terzi possa aver luogo solo se il titolare e l’eventuale responsabile del trattamento rispettino le condizioni previste dallo stesso Regolamento Privacy (cfr. Art. 44-50). Tali condizioni sono necessarie al fine di garantire ai cittadini europei un livello minimo di tutela in relazione al trattamento dei propri dati.
In particolare, il trattamento dei dati verso un paese terzo è consentito se ricorre una di queste ipotesi: (i) decisione della Commissione di adeguatezza del paese terzo; (ii) adeguate garanzie a tutela dell’interessato fornite dal titolare/responsabile del trattamento; (iii) deroghe in specifiche situazioni.
1. Decisione di adeguatezza in relazione agli USA
La Commissione può decidere, con effetto nell’intera Unione, che un paese terzo, offra un adeguato livello di protezione dei dati. In tali casi, il trasferimento di dati verso tale paese terzo può aver luogo senza ulteriori autorizzazioni.
Per quanto riguarda gli Stati Uniti d’America, la Commissione, con una prima decisione del 26 luglio 2000 (2000/520/CE), aveva ritenuto (in applicazione della direttiva 95/46] che gli USA, garantissero un livello di protezione adeguato. Il sistema si basava sul rispetto dei principi c.d. d’approdo sicuro, Safe Harbour. Nel 2015, il sistema Safe Harbour veniva tuttavia dichiarato non sufficiente a garantire un adeguato livello di tutela dei dati personali dei cittadini europei (Sentenza della Corte di Giustizia UE del 6 ottobre 2015, C-362/14, Schrems c. Facebook Ireland).
Successivamente, nel 2016, la Commissione UE (decisione del 12 luglio 2016 n. 2016/1250) approvava il c.d. Privacy Shield, ritenendo che gli Stati Uniti d’America assicurassero un livello di protezione adeguato dei dati personali trasferiti dall’Unione europea alle organizzazioni statunitensi nell’ambito del c.d. “Privacy Schield”, “Scudo Privacy”. Venivano così autorizzati i trasferimenti dei dati personali dai titolari / responsabili del trattamento nell’Unione alle imprese presenti negli USA che aderivano ai principi contenuti del c.d. Scudo Privacy e che erano impegnate a conformarsi agli stessi. Le imprese americane che intendevano aderire allo Scudo si autocertificavano presso il Department of Commerce obbligandosi al rispetto degli obblighi sanciti dal Privacy Schield.
Recentemente la Corte di Giustizia UE, nella causa C-311/18, con sentenza del 16 luglio 2020 ha ritenuto che nemmeno il c.d. Privacy Schield offrisse un livello adeguato di tutela dei dati personali dei cittadini europei.
Tale decisione è stata pronunciata a seguito di una domanda pregiudiziale presentata nell’ambito di un’ulteriore controversia tra il Commissario per la protezione dei dati, Facebook Ireland Ltd e il sig. Maximillian Schrems relativamente ad una denuncia presentata da quest’ultimo riguardo al trasferimento di dati personali da parte di Facebook Ireland Ltd a Facebook Inc. negli Stati Uniti. Per questo viene comunemente chiamata “decisione Scherms II”.
Per effetto di tale sentenza, i trasferimenti negli USA di dati personali di cittadini europei effettuati nell’ambito del Privacy Shield non sono più legittimi, conseguentemente vanno riviste tutte le policy aziendali che regolavano il trasferimento negli USA di tali dati onde poter rispettare le prescrizioni del Regolamento Privacy in materia di trasferimento dei dati in paesi terzi.
2. Quali dunque le alternative per poter legittimamente trasferire i dati personali negli USA?
In mancanza di una decisione di adeguatezza, il titolare / responsabile del trattamento, potrà trasferire i dati in un Paese terzo, compensando la carenza di protezione dei dati di tale Paese con la prestazione di adeguate garanzie a tutela dell’interessato e a condizione che quest’ultimo disponga di diritti azionabili e mezzi di tutela effettivi. Si tratta di garanzie volte ad assicurare il rispetto dei requisiti in materia di protezione dei dati e dei diritti degli interessati adeguato ai trattamenti all’interno dell’unione.
Tra le garanzie individuate dal Regolamento Privacy, che se adottate, non necessitano di un’autorizzazione specifica da parte di un’autorità di controllo vi sono:
- l’adozione di clausole tipo di protezione dei dati adottate dalla Commissione o da un’autorità di controllo (Garante Privacy del singolo Stato Membro);
- l’applicazione di norme vincolanti d’impresa;
- l’adozione di un codice di condotta approvato dall’autorità di controllo;
- l’ottenimento della certificazione della protezione dei dati rilasciati da un’autorità di controllo o da un organismo di certificazione abilitato.
Le clausole tipo adottate dalla Commissione o da un’autorità di controllo, sono clausole che garantiscono che i dati saranno trattati nel rispetto della normativa comunitaria a tutela dei dati personali anche nel Paese terzo di destinazione. Tali clausole possono essere incorporate dal titolare / responsabile del trattamento in un contratto utilizzato specificatamente per il trasferimento dei dati o in un contratto più ampio. A tali clausole il titolare / responsabile del trattamento può aggiungere altre clausole o garanzie supplementari relative ai dati personali, purché non contraddicano le clausole contrattuali adottate dalla Commissione o da un’autorità di controllo o ledano i diritti e le libertà fondamentali degli interessati. E’ questa, a mio avviso lo strumento più adatto a cui le imprese possono ora ricorrere per il trasferimento dei dati negli USA.
Le norme vincolanti di impresa sono regole in materia di protezione dei dati personali, il cui contenuto minimo è fissato dallo stesso Regolamento Privacy, che il titolare/responsabile del trattamento stabilito nell’Unione si impegna ad applicare, al trasferimento di dati personali a un titolare del trattamento in un paese terzo nell’ambito di un gruppo imprenditoriale o di imprese che svolge un’attività economica comune. Le norme vincolanti di impresa sono approvate previamente dall’autorità di controllo (Garante Privacy) competente.
I codici di condotta e la certificazione, sono strumenti introdotti dal Regolamento Privacy, ai quali i titolari / responsabili del trattamento stabiliti in un Paese terzo possono ricorrere per far valere gli impegni di tutela dei dati personali sottoscritti attraverso l’adozione del codice di condotta e/o di uno specifico strumento contrattuale giuridicamente vincolante. L’adozione del codice di condotta o la certificazione, unitamente all’impegno da parte del titolare del trattamento di applicare le garanzie adeguate, legittima dunque il trasferimento nel Paese terzo.
Necessitano invece di specifica autorizzazione da parte dell’autorità di controllo competente (Garante Privacy) le clausole contrattuali ad hoc tra il titolare / responsabile del trattamento e il titolare /responsabile e/o destinatario del trattamento stabilito nel Paese terzo.
Qualora non dovessero ricorrere le ipotesi di cui sopra, la possibilità di trasferire dati verso un Paese terzo è ammessa solamente nelle seguenti ipotesi:
- se l’interessato ha esplicitamente acconsentito ed è stato informato sui rischi conseguenti alla mancanza di una decisione di adeguatezza e di garanzie adeguate;
- se il trasferimento è necessario per l’esecuzione di un contratto concluso tra l’interessato ed il titolare o per l’esecuzione di misure precontrattuali adottate su istanza dell’interessato;
- se il trasferimento è necessario per la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato;
- se il trasferimento è necessario per accertare esercitare e/o difendere un diritto nell’ambito di un’azione giudiziaria;
- se sussistono motivi di rilevante interesse pubblico (ad es. scambio internazionale di dati tra autorità fiscali e/o doganali);
- se i dati sono trasferiti da un registro che per legge è destinato ad essere consultato dal pubblico o dalle persone aventi un legittimo interesse, purché il trasferimento sia limitato solamente ad alcuni dati e previa richiesta fatta da chi ne abbia un legittimo interesse.
Infine, il trasferimento è ammesso se è occasionale ed è necessario per il perseguimento degli interessi legittimi cogenti del titolare del trattamento, su cui non prevalgano gli interessi o i diritti e le libertà dell’interessato e qualora il titolare abbia fornito garanzie adeguate relativamente alla protezione dei dati. In tal caso, il titolare informa del trasferimento l’autorità di controllo.
3. Conclusioni
E’ dunque opportuno, qualora un’impresa abbia trasferito i dati personali raccolti e trattati nell’ambito della propria attività verso gli USA avvalendosi del Privacy Shield e abbia intenzione di continuare a trasferire dati personali negli USA, che si assicuri urgentemente che il trasferimento sia legittimo ed il rispetto dei diritti delle cittadini europei sia comunque garantito adottando una delle misure sopra descritte ed quindi informando gli interessati, rivedendo le informative privacy così come le valutazioni di impatto precedentemente effettuate sulla base Privacy Shields.
Avv. Giorcelli Mariaelena