Il 16 luglio 2020 la Corte di Giustizia dell’Unione Europea, pronunciandosi in merito al regime di trasferimento dei dati dall’Unione Europea agli Stati Uniti, ha invalidato la decisione di adeguatezza del Privacy Shield. Che cosa comporta in termini di protezione dei dati personali?
La sentenza Schrems II
Nel 2016 la Commissione Europea, a seguito della decadenza dell’accordo Safe Harbor, si era pronunciata positivamente in merito all’adeguatezza della protezione offerta dallo scudo UE-USA in termini di privacy.
Oggi, con la sentenza cosiddetta Schrems II, non è più così: la Corte ha ritenuto che i requisiti del diritto interno degli Stati Uniti, con particolare riferimento ad alcuni programmi che, ai fini della sicurezza nazionale, permettono alle autorità pubbliche di accedere ai dati personali trasferiti dall’Unione Europea agli USA, comportino limitazioni alla protezione dei dati, determinando, quindi, un livello di protezione sostanzialmente non equivalente a quello garantito dal Regolamento n. 679/16 all’interno dell’Unione Europea.
I trasferimenti dei dati verso gli Stati Uniti
Il Comitato Europeo per la Protezione dei Dati (EDPB) ha predisposto delle FAQ relative alla sentenza Schrems II e ai suoi effetti.
Qualsiasi trasferimento di dati verso un importatore statunitense aderente allo scudo per la privacy è, pertanto, illegale.
E’ possibile, tuttavia, il trasferimento di dati verso gli USA sulla base delle deroghe previste dall’art. 49 del Regolamento. E’ bene ricordare, però, che nel caso in cui il trasferimento sia basato sul consenso dell’interessato:
– il consenso deve essere esplicito;
– il consenso deve essere specifico con riguardo al particolare trasferimento (l’esportatore deve assicurarsi di ottenere il consenso specifico prima che il trasferimento venga messo in atto);
– il consenso deve essere informato, in particolare sui rischi del trasferimento (l’interessato deve essere informato in merito al fatto che il trasferimento dei propri dati avverrà verso un Paese non in grado di garantire una protezione adeguata).
Per quanto riguarda i trasferimenti necessari all’esecuzione di un contratto tra l’interessato e il titolare del trattamento, è necessario tenere presente che il trasferimento può avvenire solamente su base occasionale e che comunque la deroga può essere invocata solo quando il trasferimento è oggettivamente necessario all’esecuzione del contratto. Allo stesso modo, in relazione ai trasferimenti necessari per importanti motivi di interesse pubblico, occorre sempre rispettare il principio della reale necessità.
E’, inoltre, possibile il trasferimento di dati verso gli USA sulla base di clausole contrattuali tipo (SCC) o di norme vincolanti d’impresa (BRC) a patto che vi sia una valutazione di base che dia evidenza del fatto che, in relazione a specifiche misure adottate e alle circostanze del trasferimento, vi sia garanzia del fatto che la normativa statunitense non interferisca con l’adeguato livello di protezione garantito dalle SCC/BRC e dalle misure supplementari stesse.
In caso di responsabili del trattamento, poi, bisogna fare particolare attenzione in quanto numerose soluzioni informatiche possono comportare il trasferimento di dati personali verso un paese terzo (ad esempio, a fini di conservazione o manutenzione). E’ sempre il contratto stipulato con il responsabile che deve stabilire se i trasferimenti siano autorizzati o meno. Nel caso in cui il contratto preveda l’effettivo trasferimento e né possono essere introdotte misure supplementari per garantire che la normativa statunitense non incida sul livello di protezione, né si applicano le deroghe di cui all’articolo 49, è necessario negoziare un emendamento o una clausola aggiuntiva al contratto per vietare il trasferimento di dati verso gli Stati Uniti. Non solo la conservazione, ma anche la gestione dei dati dovrebbero quindi avvenire in paesi diversi dagli USA.
Fonte: Garante per la Protezione dei dati personali, Comitato Europeo Per La Protezione Dei Dati – EDPB “Domande frequenti sulla sentenza della Corte di giustizia dell’Unione europea nella causa C-311/18 — Data Protection Commissioner/Facebook Ireland Ltd e Maximillian Schrems, Adottate il 23 luglio 2020”
