Invalidato il Privacy Shield

Abstract

Il 16 luglio 2020 la Corte di Giustizia dell’Unione Europea ha analizzato le decisioni della Commissione circa l’utilizzo delle clausole contrattuali standard per l’esportazione di dati verso Paesi terzi, giudicandole idonee ma evidenziando il limite intrinseco allo strumento contrattuale di non essere vincolante per le Autorità del Paese terzo. Contestualmente ha invalidato la decisione di adeguatezza della Commissione UE sul cd. Privacy Shield relativa al trasferimento di dati tra l’Unione Europea e gli Stati Uniti (causa C 311/18 “Schrems II”) a causa delle previsioni della normativa americana per le quali le amministrazioni centrali posso accedere ai dati importati dall’UE per questioni di sicurezza nazionale. Pertanto, il Privacy Shield non garantisce un livello di tutela paragonabile a quello in vigore nell’UE e non può più costituire una valida garanzia per il trasferimento di dati personali verso gli USA.

Riflessioni

La sentenza ha giustamente messo in subbuglio tutte quelle aziende che usufruiscono di servizi gestiti da fornitori localizzati negli USA che includono il trattamento di dati personali. La lista dei possibili servizi investiti dalla questione è potenzialmente infinita, si va dai cloud provider ai servizi di marketing e statistica ai social aziendali.

Sono necessarie quindi alcune riflessioni, suggerite anche dalle FAQ prodotte dall’EDPB:

1. La sentenza è immediatamente efficace, non è previsto alcun periodo di transizione, quindi i trasferimenti dall’UE agli USA devono ora poggiarsi su una base legale diversa dal Privacy Shield;
2. La Clausole contrattuali tipo rimangono, per il momento, in vigore e configurano un mezzo alternativo al Privacy Shield, allo stato, in linea di principio legittimo per trasferire i dati dall’UE agli USA. Anche se la Corte ha sottolineato che vi è una problematica strutturale nella normativa statunitense che potrebbe inficiare qualsiasi tipo di convenzione tra le parti.
3. È in capo quindi all’esportatore (Titolare del trattamento) la responsabilità di verificare che il Paese in cui è stabilito l’importatore permetta l’effettivo rispetto dei principi fondamentali UE e delle Clausole contrattuali tipo e di valutare gli eventuali rischi sui diritti e le libertà dei soggetti interessati, prima di procedere al trasferimento.

D’altro canto, le Autorità di controllo potranno in ogni momento ordinare l’interruzione o la sospensione del trasferimento basato sulle Clausole contrattuali tipo in caso ritengano che il Paese di destinazione dei dati non fornisca idonee garanzie di rispetto della legislazione in materia di protezione dei dati personali europea.

Per tale ragione, non è da escludere che, in un futuro più o meno prossimo, alcune Autorità invalidino anche le Clausole contrattuali tipo utilizzate negli scambi con gli USA o con altri Paesi terzi alla luce delle argomentazioni formulate dalla Corte di Giustizia UE.

Linee guida

Dalle considerazioni sopra esposte risulta che vi sia la necessità di mettere in moto un meccanismo di verifica di tutti quei processi che prevedono il trasferimento di dati personali verso gli USA. Nonostante le aziende maggiori, come Google, già si siano attivate per rivedere in tempo record le clausole incluse nei loro contratti è consigliabile che le aziende avviino un censimento interno per non rischiare di “perdere” di vista la relazione con fornitori magari di minore entità.

Titolari del trattamento

Le aziende dovranno quindi:

• Identificare i trasferimenti verso gli USA e verificare quali siano le garanzie per il trasferimento prescelte: ove sia il Privacy Shield occorre individuarne una nuova;
• Contattare i fornitori (Responsabili del trattamento) in maniera proattiva per indicare che nel caso i trattamenti a loro affidati comportino direttamente o a mezzo di sub-fornitori (sub-responsabili) trasferimenti verso gli USA fino ad ora regolati sulla base del Privacy Shield, occorrerà procedere a mutare orientamento ;
• Una volta completata la riorganizzazione dei trasferimenti verso gli USA , modificare coerentemente il Registro dei trattamenti e le informative ;
• Verificare e modificare coerentemente i riferimenti al Privacy Shield nella documentazione del Titolare (es. policy, procedure, contratti etc.).

Responsabili del trattamento

Similmente ai Titolari, dovranno:

• Identificare i trasferimenti posti in essere direttamente o a mezzo di sub-fornitori (sub-responsabili) verso gli USA e verificarne le garanzie per il trasferimento prescelte: ove sia il Privacy Shield occorre concordarne con il Titolare una nuova;
• Contattare i Titolari del trattamento in maniera proattiva per indicare che nel caso in cui i trattamenti affidati in qualità di Responsabili comportino direttamente o a mezzo di sub-fornitori (sub-responsabili) trasferimenti verso gli USA fino ad ora regolati sulla base del Privacy Shield occorrerà procedere mutando orientamento;
• Una volta completata la riorganizzazione dei trasferimenti verso gli USA, modificare coerentemente il Registro dei trattamenti Responsabile );
• Verificare e modificare coerentemente i riferimenti al Privacy Shield nella documentazione.

In attesa di decisioni precise da parte dei Garanti nazionale ed Europeo, la proattività rimane la soluzione migliore, assieme al monitorare attentamente le attività delle Autorità di controllo competenti circa ulteriori interpretazioni e consigli pratici per allineare eventuali trasferimenti verso gli USA alla decisione della Corte di Giustizia dell’Unione Europea e più in generale alla normativa in materia di protezione dei dati personali applicabile (ad es. in caso di ulteriore invalidazione delle Clausole contrattuali tipo).