Schrems II e trasferimenti di dati al di fuori dell’Unione Europea: a che punto siamo?
Il 16 luglio 2020 la Corte di Giustizia dell’Unione Europea (CGUE) ha emesso la sentenza cosiddetta, dal nome dell’attivista il cui complaint ha avviato il giudizio, “Schrems II”, nell’ambito della causa C-311/18, che ha determinato importanti ripercussioni circa la possibilità di trasferire i dati personali verso Paesi al di fuori dell’Unione Europea e, soprattutto, verso gli Stati Uniti.
Stanti l’enorme quantità di dati trasferita ogni giorno in Paesi Terzi, in particolare negli USA, e la rilevanza economica di tali trasferimenti, è venuta a configurarsi una situazione di grande incertezza, che sussiste tuttora, sollevando non pochi problemi per gli operatori economici coinvolti.
Volendo fare chiarezza sulla situazione delineatasi nell’immediato della sentenza in oggetto, è opportuno in ogni caso tenere conto del fatto che si tratta di un quadro in divenire e non ancora definitivamente consolidatosi.
Da un punto di vista generale, la Corte di Giustizia ha affermato che il livello di protezione (ossia l’insieme di garanzie adeguate, diritti opponibili e mezzi di ricorso effettivi) richiesto nell’ambito del trasferimento di dati dall’UE a Stati extra-UE deve essere “sostanzialmente equivalente” a quello garantito all’interno dell’Unione.
Sulla base di questo assunto, la Corte ha, in primo luogo, dichiarato invalida la decisione “Privacy Shield”, che regolava il trasferimento di dati dall’UE agli Stati Uniti.
Secondo la Corte, infatti, la normativa statunitense in materia di sicurezza (in particolare le attività di intelligence che si fondano sull’articolo 702 del FISA e sull’Executive Order 12333) interferisce con i diritti fondamentali delle persone i cui dati sono trasferiti verso gli USA e non garantisce il rispetto di requisiti sostanzialmente equivalenti a quelli richiesti dal diritto dell’UE.
La CGUE ha invece ritenuto valida la decisione 2010/87/CE sulle clausole contrattuali tipo (SCC), ribadendo, tuttavia, che tale validità sarebbe subordinata alla presenza, all’interno della decisione stessa, di meccanismi efficaci, in grado di garantire il rispetto del livello di protezione richiesto dal diritto dell’UE e al fatto che i trasferimenti di dati personali, fondati su tali clausole, siano sospesi o vietati in caso di violazione di tali clausole o di impossibilità di rispettarle.
Secondo la Corte tale decisione instaura effettivamente meccanismi efficaci, in particolare in quanto prevede l’obbligo per l’esportatore e per il destinatario dei dati di verificare in via preliminare il rispetto del livello di protezione nel Paese terzo e l’obbligo per il destinatario di informare l’esportatore dei dati della sua eventuale impossibilità di conformarsi alle clausole tipo di protezione, con il conseguente onere, in tal caso, di sospendere il trasferimento di dati e/o di risolvere il contratto concluso tra le parti.
L’analisi dell’EDPB
Alcune delle implicazioni e delle conseguenze della sentenza Schrems II sono state già affrontate e chiarite dal Comitato Europeo per la Protezione dei Dati (meglio noto come European Data Protection Board – EDPB), che riunisce i rappresentanti di tutte le Autorità di controllo europee, in un documento del 23 luglio scorso, le “Domande frequenti sulla sentenza della Corte di giustizia dell’Unione europea nella causa C-311/18 —Data Protection Commissioner/Facebook Ireland Ltd e Maximillian Schrems”.
È bene sottolineare che si tratta di un documento preliminare, che verrà sviluppato e integrato con ulteriori analisi, via via che il Comitato procederà nell’esame e nella valutazione della sentenza e degli impatti pratici della stessa.
Anzitutto, l’EDPB ha affermato che i trasferimenti effettuati sulla base del Privacy Shield sono da ritenersi illegali.
In secondo luogo, ha evidenziato come anche il ricorso alle SCC (ossia alle clausole contrattuali tipo) e alle BCR (ossia alle norme vincolanti d’impresa) per effettuare il trasferimento dei dati possa risultare problematico alla luce della sentenza Schrems II.
Infatti, la possibilità di utilizzo delle clausole contrattuali tipo o delle norme vincolanti d’impresa nel trasferimento di dati verso Stati in cui il livello di protezione non può essere ritenuto equivalente è subordinata all’esito di una valutazione:
- che l’esportatore e l’importatore di dati devono compiere caso per caso, tenendo conto delle circostanze del trasferimento e delle misure supplementari eventualmente messe in atto;
- circa la possibilità di prevedere misure supplementari in aggiunta alle SCC (o alle BCR, a seconda del caso) e circa la loro effettiva idoneità a garantire che la normativa del Paese terzo coinvolto non interferisca con l’adeguato livello di protezione garantito congiuntamente dalle SCC (o dalle BCR, a seconda del caso) e dalle misure supplementari stesse. Anche la scelta di tali misure deve essere effettuata caso per caso, tenendo conto di tutte le circostanze del trasferimento e a seguito della valutazione della legislazione del Paese terzo, volta a verificare se essa garantisca un livello di protezione adeguato. In tempi brevi potrebbero essere probabilmente disponibili indicazioni aggiuntive in materia: il Comitato ha infatti affermato di essere al lavoro per stabilire quali misure giuridiche, tecniche o organizzative potrebbero essere fornite in aggiunta alle SCC o alle BCR.
Laddove si arrivasse a concludere per l’assenza di adeguate garanzie, occorrerà sospendere o porre fine al trasferimento di dati personali. L’EDPB ha anche aggiunto che, qualora si intenda continuare a trasferire i dati nonostante la mancanza di adeguate garanzie, occorrerà informarne l’Autorità di controllo competente.
Per quanto riguarda gli Stati Uniti, la mancanza di protezione equivalente è già pressoché assodata, in quanto è stata rilevata dalla Corte di Giustizia nell’ambito della maggioranza dei casi, ossia in qualsiasi trasferimento verso gli Stati Uniti per via elettronica che rientra nell’ambito di applicazione dei già menzionati articolo 702 del FISA e Executive Order (E.O.) 12333.
Per quanto concerne invece gli strumenti di trasferimento diversi dalle SCC e dalle BCR, il Comitato si è riservato di valutare le conseguenze della sentenza, partendo dal presupposto che il parametro dell’equivalenza sostanziale fissato dalla Corte di Giustizia ai fini di valutare l’adeguatezza è valido per tutti gli strumenti di cui all’art. 46 GDPR.
Si segnala, inoltre, che l’EDPB ha affermato che rimane tuttora possibile trasferire i dati sulla base delle deroghe fissate dall’art. 49 GDPR.
In aggiunta a tutto quanto sopra, l’EDPB ha anche avuto modo di offrire alcune prime indicazioni anche circa le ripercussioni della sentenza nell’ambito del rapporto tra titolare e responsabile del trattamento.
Infatti, nel caso in cui un contratto esistente tra un titolare del trattamento e un responsabile indichi che i dati possono essere trasferiti verso gli USA – e non sia di fatto possibile introdurre misure supplementari, né applicare le deroghe di cui all’articolo 49 del GDPR – l’unica soluzione individuata dal Comitato è il ricorso alla negoziazione di un emendamento o di una clausola aggiuntiva al contratto per vietare il trasferimento di dati verso gli USA. Similmente, se è previsto in un contratto che i dati siano trasferiti verso un altro Paese terzo, sarà necessario analizzare la legislazione di tale Paese terzo per verificarne la conformità al livello di protezione dei dati personali fissato dalla Corte.
Infine, laddove non fosse possibile individuare un’idonea base giuridica per il trasferimento verso un Paese terzo, non dovrebbe aver luogo alcun trasferimento di dati personali al di fuori dello Spazio Economico Europeo e tutte le attività di trattamento dovrebbero aver luogo all’interno dello stesso.
Le prime pronunce delle Autorità di controllo
Nel clima di indeterminatezza creatosi a seguito della sentenza Schrems II, acuito dal fatto che non è stato previsto alcun “periodo di grazia” nel quale sia possibile continuare a trasferire i dati verso gli USA senza operare valutazioni ulteriori, la prima Autorità per la protezione dei dati ad offrire delle indicazioni concrete è stata l’Autorità dello Stato federale tedesco del Baden-Württemberg.
In tali linee guida vengono individuati alcuni esempi di misure supplementari adatte allo scopo, quali:
- un sistema di crittografia dei dati, nell’ambito del quale esclusivamente l’esportatore dei dati possegga la chiave, e che non possa poter essere decifrato dai servizi USA;
- l’anonimizzazione dei dati;
- la pseudonomizzazione dei dati.
Inoltre, è interessante notare come l’Autorità federale ravvisi la possibilità di ricorrere, in determinate e specifiche situazioni, ed in special modo per i trasferimenti di dati infragruppo, alle deroghe di cui all’art. 49 GDPR.
Utile è anche la previsione da parte dell’Autorità tedesca di una check-list di azioni che le aziende dovrebbero porre in essere a seguito della Schrems II. Tra le azioni proposte, risultano di particolare interesse:
- l’identificazione di tutti i trasferimenti dei dati – compreso l’accesso da remoto – che avvengono verso Paesi Terzi;
- l’informazione nei confronti dei fornitori di servizi di Paesi Terzi della modifica della legislazione in materia di dati personali in Europa intervenuta post sentenza Schrems II;
- la verifica della situazione sussistente da un punto di vista giuridico nel Paese terzo.
Decisamente rilevante, per concludere, è anche la notizia della recentissima decisione dell’Autorità per la protezione dei dati irlandese (Data Protection Commissioner), che ha disposto, nei confronti del social network Facebook, l’ordine preliminare di sospendere i trasferimenti di dati degli utenti dell’Unione verso gli Stati Uniti. Si tratta della prima pronuncia di una Autorità volta a dare completa attuazione alla sentenza in commento.
Conclusioni e scenari futuri
Alla luce di tutto quanto sopra esaminato, appare evidente come sia necessario un intervento delle autorità competenti per porre delle nuove e chiare regole in materia di trasferimento dei dati verso Paesi Terzi. Soprattutto, è particolarmente urgente che le autorità europee provvedano quanto prima a definire nuove modalità di trasferimento dei dati verso gli Stati Uniti o forniscano maggiori chiarimenti circa differenti modalità di ricorso agli strumenti già esistenti.
Per intanto si segnala che la Commissione europea e lo US Department of Commerce hanno emanato, in data 10 agosto 2020, un comunicato congiunto per far sapere di aver avviato, in un’ottica di collaborazione, delle trattative in materia, riconoscendo l’importanza della protezione dei dati e la rilevanza dei trasferimenti in oggetto tanto per i cittadini che per le economie europea e statunitense.
In aggiunta, il 3 settembre scorso si è tenuta una riunione della Commissione LIBE (Commissione per le libertà civili, la giustizia e gli affari interni del Parlamento europeo) volta proprio a discutere circa il futuro del trasferimento dei dati verso gli USA. È in particolare emerso che il processo di aggiornamento in materia di trasferimento dei dati dovrebbe essere improntato ad una collaborazione “interna”, tra le diverse Autorità per la protezione dei dati, l’EDPB e la Commissione, ed “esterna”, tra la Commissione e gli USA.
Si è inoltre ventilata l’ipotesi di una possibile adozione di nuove SCC, meglio allineate anche ai nuovi scenari delineati dal GDPR, quali la possibilità di ricorso a molteplici sub-responsabili, oltre che con le moderne esigenze del mercato, entro la fine dell’anno.
L’EDPB ha invece annunciato la creazione di due task force, volte rispettivamente a esaminare i reclami conseguenti alla sentenza Schrems II e a fornire una guida ai titolari e ai responsabili del trattamento per l’adempimento del dovere di identificazione e implementazione delle misure supplementari volte ad assicurare l’adeguata protezione nel trasferimento dei dati.
Si preannunciano, pertanto, importanti novità tanto in ambito regolamentare che dal punto di vista più pratico ed operativo, che si spera portino, in tempi brevi, all’aggiornamento di un quadro normativo che da tempo ormai richiedeva un adeguamento alle innovazioni conseguenti l’entrata in vigore del GDPR.