L’EDPS ha accolto con favore la nuova sentenza del CGUE sul caso Schrems II sul trasferimento dei dati extra UE che ha invalidato il Privacy Shield e ha introdotto dei limiti alla possibilità di utilizzare le standard contractual clauses.
All’indomani della storica sentenza emessa il 16 luglio 2020 dalla Corte di Giustizia europea sul caso “Data Protection Commissioner v Facebook Ireland Ltd, Maximilian Schrems, C-311/18” (più comunemente noto come “Schrems II”), di cui è possibile leggere un nostro commento qui, l’European Data Protection Supervisor (EDPS) ha pubblicato un comunicato ufficiale nel quale dichiara il suo sostegno alla posizione espressa dalla CGUE in merito ai meccanismi fino ad oggi più comunemente utilizzati per effettuare i trasferimenti di dati personali tra l’Unione europea e gli Stat Uniti e, più in generale, i paesi extra-UE: il Privacy Shield UE-USA e le Standard Contractual Clauses (SCC).
La CGUE, da una parte, ha invalidato il Privacy Shield e, dall’altra, ha sostenuto che le standard contractual clauses rimangono valide, ma a condizione che le imprese esportatrici verifichino di volta in volta se il contesto generale del trasferimento (ivi incluso il paese di destinazione) offra garanzie adeguate per il rispetto dei diritti e delle libertà fondamentali degli interessati cui i dati personali trasferiti si riferiscono. A tal riguardo, l’EDPS ha dichiarato di aver accolto con favore la decisione, in quanto ha riaffermato l’importanza di mantenere un elevato livello di protezione dei dati personali trasferiti dall’Unione europea a paesi terzi.
Con riferimento al Privacy Shield, lo European Data Protection Supervisor ha in particolare evidenziato come la Corte abbia di fatto confermato le critiche al Privacy Shield ripetutamente espresse già dall’European Data Protection Board (EDPB) e dallo stesso EDPS. A tal proposito, viene ribadito come “[sia] la seconda volta in quasi 5 anni che una decisione di adeguatezza della Commissione europea riguardante gli Stati Uniti viene invalidata dalla Corte” e pertanto l’EDPS confida nel fatto che gli Stati Uniti dispiegheranno tutti gli sforzi e i mezzi possibili per procedere verso un quadro giuridico globale in materia di protezione dei dati che soddisfi realmente i requisiti di adeguatezza delle salvaguardie riaffermati dalla Corte. D’altronde, nel corso degli ultimi anni è stato adottato a livello globale un numero crescente di leggi in materia protezione dei dati e sul diritto alla privacy, il che costituisce un chiaro segnale del fatto che “più che un diritto fondamentale “europeo” – è [ormai] un diritto fondamentale ampiamente riconosciuto in tutto il mondo”.
Per quanto concerne le standard contractual clauses, l’EDPS rileva che la Corte, pur confermandone in linea di principio la validità, nella sentenza Schrems II ha fornito chiarimenti apprezzabili in merito alle responsabilità dei titolari del trattamento e delle autorità europee per la protezione dei dati personali circa l’esigenza di dover valutare i rischi connessi all’accesso ai dati personali da parte delle autorità pubbliche di paesi terzi. In particolare, le autorità di controllo europee hanno il dovere di applicare con diligenza la normativa privacy applicabile e, se del caso, di sospendere o vietare i trasferimenti di dati verso un paese terzo.
Nel quadro così delineato, l’EDPS ha infine rassicurato gli operatori, pubblici e privati, affermando che continuerà ad adoperarsi – in qualità di membro dell’EDPB – per garantire un approccio coerente tra le diverse autorità di controllo europee nell’ambito dei trasferimenti internazionali di dati personali.