In questi giorni si è sentito molto parlare della sentenza della Corte di giustizia dell’Unione Europea (CGUE) nella causa C-311/18 (c.d. caso Schrems II), la quale ha sollevato alcune criticità sia per chi, come noi, si occupa di privacy, sia per tutte le aziende che si avvalgono di fornitori di software o di altri servizi che sono localizzati negli Stati Uniti.
Occorre premettere che non c’è motivo di allarmarsi, tuttavia per poter continuare ad utilizzare i servizi di fornitori extra UE si richiedono nuovi adempimenti da parte sia delle aziende che trattano dati personali sia dei DPO, alla luce della recente sentenza.
Il caso
Nello specifico, nel caso giudicato dalla Corte di giustizia, il sig. Schrems aveva sollevato dubbi circa la validità della decisione con cui la Commissione europea aveva stabilito che il rispetto, da parte di soggetti localizzati negli Stati Uniti, delle misure indicate nel c.d. Privacy Shield USA-UE, e quindi l’adesione allo stesso, costituiva una condizione sufficiente per garantire che i dati personali ricevessero una tutela sostanzialmente equivalente a quella prevista all’interno dell’Unione Europea, in forza del Regolamento sulla protezione dei dati (“GDPR”) e delle normative nazionali di attuazione.
La Corte di giustizia, nella sua sentenza, ha ritenuto invalida la suddetta decisione e ne ha determinato l’immediata cessazione dell’efficacia.
I motivi della sentenza.
Il motivo di questa decisione è rappresentato principalmente dal fatto che i dati dei cittadini europei non risultano sufficientemente tutelati negli Stati Uniti perché manca un’autorità indipendente a cui rivolgersi per eventuali reclami. Inoltre, i dati conservati negli Stati Uniti, a chiunque appartenenti, risultano accessibili alle autorità governative del Paese, senza possibilità per l’interessato di opporvisi.
Le Clausola Contrattuali Standard
Nella stessa sentenza, la Corte ha approfondito anche il tema della validità delle c.d. Clausole Contrattuali Standard (“SCC”), approvate dalla Commissione europea per mezzo di un’altra decisione, che pure era stata impugnata dal sig. Schrems. La Commissione europea ha infatti il potere di stabilire se determinati gruppi di clausole contrattuali offrono, o meno, sufficienti garanzie di tutela dei dati che vengono trasferiti al di fuori dell’Unione Europea. A tale riguardo, da una parte, la Corte ha confermato la validità delle clausole già approvate dalla Commissione e quindi le stesse, se inserite nel contratto tra “esportatore” ed “importatore” dei dati, sono teoricamente idonee a legittimare un trasferimento di dati all’estero (si intende: al di fuori dell’Unione Europea). D’altra parte, la Corte ha richiamato l’attenzione sul fatto che l’idoneità delle stesse SCC a legittimare il trasferimento dei dati non può essere riconosciuta in modo automatico, ma deve essere valutata caso per caso. In base alle caratteristiche dell’ “importatore” e allo Stato in cui si trova, potrebbe infatti essere necessario integrare le stesse con ulteriori clausole contrattuali, oppure prevedere l’adozione di ulteriori misure di sicurezza, affinché il livello di tutela dei dati sia davvero “sostanzialmente equivalente” a quello riconosciuto all’interno dell’Unione Europea.
Impatto sulle attività imprenditoriali
Passando al concreto impatto di questa decisione della Corte di giustizia sulle attività imprenditoriali, si deve notare, ad esempio, che l’utilizzo di servizi di Google comporta il trasferimento dei dati personali trattati anche negli Stati Uniti. Fino alla sentenza in oggetto, il trasferimento poteva avvenire legittimamente, a condizione che l’interessato (cioè la persona fisica a cui siano riferibili i dati personali) ne fosse informato. Google, infatti, dichiarava di aderire al Privacy Shield USA – UE e in quanto tale avrebbe dovuto offrire garanzie sufficienti per la protezione dei dati. Ora invece, per poter continuare ad usufruire dei servizi di Google, o di Microsoft, o di tanti altri fornitori di software (ma non solo) che trattano i dati negli Stati Uniti, sarà necessario trovare altre basi giuridiche che legittimino il trasferimento.
A tale proposito, il GDPR ne indica diverse:
• la sussistenza di decisioni di adeguatezza agli standard europei in materia di protezione dei dati personali (ad oggi, riguardano i seguenti Paesi: Andorra, Argentina, Canada, Isole Faroe, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Switzerland, Uruguay) (v. art. 45 GDPR). Le Autorità Garanti europee auspicano di pervenire ad una decisione di adeguatezza anche per gli Stati Uniti, ma la strada da percorrere sarà molto lunga;
• le Clausole Contrattuali Standard adottate dalla Commissione Europea (c.d. “SCC”) (per cui si veda sopra);
• le norme vincolanti d’impresa (c.d. Binding Corporate Rules), che però sono utilizzabili solo per i trasferimenti infragruppo, in grandi gruppi multinazionali, e che devono essere negoziate con le Autorità Garanti;
• le clausole contrattuali adottate dalle singole autorità di controllo, nella cui redazione però l’Autorità Garante italiana è in ritardo rispetto ad altre autorità europee;
• l’adesione, da parte dell’importatore extra UE, ad un codice di condotta o ad un meccanismo di certificazione, unitamente all’impegno dello stesso di applicare garanzie adeguate.
In mancanza di una decisione di adeguatezza o di una delle garanzie adeguate sopra elencate (v. art. 46 GDPR), il trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale può essere comunque ammesso, ma deve essere:
– basato sul conferimento, da parte dell’interessato, dell’esplicito consenso al trasferimento proposto, e lo stesso deve essere stato informato dei possibili rischi che siffatti trasferimenti comportano, oppure
– motivato dalla necessità di dare esecuzione ad un contratto concluso tra l’interessato ed il titolare del trattamento, ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato, oppure
– un trasferimento temporaneo, che riguarda pochi interessati e che si fonda su un interesse legittimo cogente dell’esportatore (v. art. 49 GDPR).
Le soluzioni
Le soluzioni che al momento risultano perseguibili sono quindi quelle della verifica dell’adesione, da parte dei fornitori extra UE, a meccanismi di certificazione (es. ISO) e/o l’ottenimento del consenso dell’interessato. Le ulteriori deroghe previste dall’art. 49 GDPR riguardano invece trasferimenti per interesse pubblico, per la tutela di interessi vitali, riguardanti dati giudiziari oppure provenienti da registri pubblici.
In ogni caso, occorrerà attendere una presa di posizione da parte dei fornitori di servizi, che in realtà sono gli unici che possono garantire l’assoluto rispetto del livello di tutela dei dati previsto dal GDPR. Questo vale sia per le società estere che aderivano al Privacy Shield, sia per quelle localizzate in altri Paesi del mondo, alla luce dei richiami operati dalla Corte di giustizia in merito all’uso delle SCC.
Adempimenti necessari
Risulta pertanto necessario revisionare tutte le informative privacy, al fine di inserire maggiori informazioni circa i dati che possono essere trasferiti all’estero, il luogo in cui vengono trasferiti e le garanzie di tutela di cui godono. Le stesse dovranno essere poi portate a conoscenza degli interessati. Anche i Registri del Titolare o del Responsabile del trattamento dovranno essere di conseguenza aggiornati.
Lo Studio è sempre a vostra disposizione per garantire l’adeguamento della vostra attività rispetto a tutte le più recenti pronunce e normative.
