Nella causa c.d. Schrems II, la Corte di giustizia europea ha invalidato il Privacy Shield, ma la possibilità di basarsi su clausole contrattuali standard per il trasferimento dei dati deve essere valutata caso per caso.
In una delle sentenze più attese dell’anno (Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems C-311/18, comunemente nota come “Schrems II”), la CGUE ha invalidato il Privacy Shield come meccanismo per il trasferimento di dati personali negli Stati Uniti. La CGUE ha inoltre ritenuto che le clausole contrattuali standard, il meccanismo più comunemente utilizzato per il trasferimento di dati personali al di fuori dell’UE, rimane valido a condizione che le imprese verifichino se il contesto generale del trasferimento (compreso il paese di destinazione) offre garanzie adeguate ai dati personali delle persone. La sentenza impone alle autorità privacy europee di sospendere o vietare i trasferimenti qualora non sia possibile fornire tali garanzie appropriate.
Qualche informazione di background sul caso Schrems II
Il GDPR regola il trasferimento dei dati personali dall’UE, richiedendo un valido meccanismo di trasferimento. Tali meccanismi includono le decisioni di adeguatezza della Commissione Europea (come il Privacy Shield) e le opportune salvaguardie (come le Standard Contractual Clauses e le Binding Corporate Rules, che riguardano i trasferimenti intragruppo).
Non è la prima volta che la CGUE invalida un meccanismo di trasferimento: nel 2015, la CGUE ha invalidato il c.d. Safe Harbor (il predecessore di Privacy Shield) in un caso comunemente denominato come Schrems I. Al centro della contestazione avanzata da Schrems c’era il fatto che le leggi di sorveglianza degli Stati Uniti non offrivano una protezione adeguata dei dati personali dell’UE, in particolare in relazione alla condivisione da parte di Facebook dei dati personali dei cittadini dell’UE con l’Agenzia per la sicurezza nazionale degli Stati Uniti.
I punti chiave della sentenza Schrems II che ha invalidato il Privacy Shield
La Corte di giustizia europea ha dichiarato quanto segue:
Privacy Shield invalidato come meccanismo per il trasferimento di dati personali negli Stati Uniti
La CGUE ha ritenuto che, a causa del potenziale accesso e dell’utilizzo da parte delle autorità pubbliche statunitensi ai dati personali trasferiti negli Stati Uniti, non può essere garantito un livello di protezione sostanzialmente equivalente a quello garantito dal diritto comunitario. La sentenza continua indicando che “i requisiti di sicurezza nazionale, di interesse pubblico e di applicazione della legge degli Stati Uniti prevalgono, evitando così le limitazioni imposte da i diritti fondamentali delle persone i cui dati sono trasferiti in quel paese terzo“. Inoltre, in relazione al principio di proporzionalità previsto dal diritto dell’UE, la CGUE ha ritenuto che i “programmi di sorveglianza statunitensi basati su tali disposizioni non si limitano allo stretto necessario“. La CGUE ha ritenuto che il meccanismo del Privacy Shield Ombudsperson non fornisce un livello di protezione adeguato, in quanto gli interessati non hanno alcun motivo di agire dinanzi a un organismo che offra garanzie sostanzialmente equivalenti a quelle richieste dal diritto dell’UE.
Le clausole contrattuali standard continuano ad essere un meccanismo valido per il trasferimento di dati personali verso paesi al di fuori del SEE, ma soggetto a limitazioni
La CGUE ha ritenuto che le clausole contrattuali standard non sempre costituiscono un mezzo sufficiente per garantire, in pratica, l’effettiva protezione dei dati personali trasferiti in un paese terzo. In particolare, “qualora la legge di tale paese terzo consenta alle sue autorità pubbliche di interferire con i diritti degli interessati cui tali dati si riferiscono“. La sentenza ribadisce l’importanza che le imprese verifichino, prima di qualsiasi trasferimento, se nel paese terzo in questione è rispettato un livello di protezione adeguato. In mancanza di garanzie adeguate, il trasferimento di dati personali verso tale paese terzo dovrebbe essere sospeso dall’esportatore o, in mancanza, dall’autorità di controllo della protezione dei dati dello Stato membro interessato. Sebbene non sia esplicitamente menzionato nella sentenza, è probabile che tale obbligo si applichi anche ad altri meccanismi di trasferimento dei dati, comprese le binding corporate rules.
Cosa significa tutto questo per la vostra azienda?
La sentenza ha gravi implicazioni sul trasferimento di dati personali al di fuori dell’UE ed è un campanello d’allarme per le imprese dell’UE:
- le imprese dovrebbero analizzare i flussi di dati che comportano il trasferimento di dati personali al di fuori dell’UE e determinare quale meccanismo di trasferimento (Privacy Shield, le clausole contrattuali standard, ecc.) viene attualmente utilizzato;
- per quei trasferimenti che si basano sul Privacy Shield, è necessario trovare un meccanismo di trasferimento alternativo in via prioritaria;
- per le imprese che attualmente utilizzano, o stanno considerando di utilizzare (in alternativa al Privacy Shield), le clausole contrattuali standard, le imprese devono valutare il livello di garanzie appropriate fornite da tale trasferimento per determinare se le clausole contrattuali standard sono un meccanismo disponibile. Gli effettivi rischi devono essere presi in considerazione, nel contesto del settore / industria e di altri fattori rilevanti, tra cui il paese di destinazione e l’identità del destinatario, che può essere difficile, in particolare data l’incertezza nella sentenza della CGUE in relazione alla possibilità di fare affidamento sulle clausole contrattuali standard per i trasferimenti di dati personali verso gli Stati Uniti;
- le autorità di protezione dei dati dell’UE avranno il compito non invidiabile di determinare, in ultima analisi, l’adeguatezza delle garanzie appropriate; e
- Le implicazioni della sentenza potrebbero innescare un ulteriore ciclo di discussioni politiche tra l’UE e gli Stati Uniti.
Nonostante le questioni sollevate dalla CGUE, le clausole contrattuali standard rimangono, per ora, l’opzione più realistica per il trasferimento di dati personali al di fuori del SEE. Ci aspettiamo che ci vorrà del tempo prima che le implicazioni pratiche della decisione possano essere pienamente applicate ed entrare in vigore.
Considerato l’impatto che questa decisione avrà sulle imprese, ci aspettiamo che le autorità di controllo della protezione dei dati degli Stati membri possano ritardare l’avvio di azioni esecutive per consentire alle imprese di valutare la situazione e di mettere in atto soluzioni alternative, come è successo dopo la sentenza Schrems I del 2015 e l’invalidazione del quadro normativo Safe Harbor. Tuttavia, non è garantito un periodo di grazia. Né impedirebbe ai singoli individui di presentare richieste di risarcimento private o di azioni legali di gruppo.
DLA Piper sta sviluppando una metodologia per assistere i nostri clienti nella navigazione dell’impatto della sentenza e nell’esecuzione del test richiesto quando ci si affida alle clausole contrattuali standard. E discuteremo la decisione oggi 17 luglio 2020 in un webinar i cui dettagli sono disponibili QUI.