A seguito della sentenza adottata dalla Corte di Giustizia Europea è venuta meno la possibilità di trasferire i dati personali dalla U.E. agli USA, ricorrendo all’accordo denominato “Privacy Shield”.
La problematica della regolamentazione del trasferimento di dati all'estero, e dei flussi transfrontalieri, e di conseguenza anche dell'utilizzo di un servizio cloud che non abbia sede nel paese di residenza, è questione complessa e dibattuta. Negli ultimi anni, infatti, lo scandalo delle intercettazioni dell'NSA americana ha irrigidito le posizioni dell'Unione europea che si è vista costretta a riformare parte della regolamentazione.
Questa situazione ha portato alla approvazione del “Privacy Shield” in sostituzione del “Safe Harbor” (cd approdo sicuro) dichiarato invalido dalla Corte di Giustizia Europea.
A seguito dello sviluppo incessante delle moderne tecnologie della comunicazione – che consente, e consentirà sempre più in futuro, la possibilità di trasferire in maniera agevole e massiva i dati - la problematica riguardante il trasferimento dei dati personali da uno Stato ad un altro, si è fatta sempre più importante atteso anche lo sviluppo dei traffici commerciali, l’espansione dei rapporti economici e la trasmissione dei dati personal.
L'articolo continua dopo la pubblicità
Ti potrebbe interessare Tutela della Privacy - (Pacchetto 2 eBook)
Si è reso, quindi, necessario approntare nuove regole al fine di tutelare i soggetti interessati, in relazione ai propri dati personali, allestendo una serie di garanzie che debbono essere assicurate anche da soggetti Titolari e Responsabili del trattamento che hanno sede al di fuori della UE, ma che trattano dati personali dei cittadini degli Stati membri.
Il legislatore comunitario parte dal presupposto che “i flussi di dati personali verso e da paesi al di fuori dell’Unione e organizzazioni internazionali sono necessari per l’espansione del commercio internazionale e della cooperazione internazionale” . Pur con la necessità di salvaguardare e agevolare la rete di scambi commerciali tra le nazioni e tra i continenti, si ritiene opportuno – comunque – che “il livello di tutela delle persone fisiche assicurato nell’Unione dal presente regolamento non sia compromesso, anche nei casi di trasferimenti successivi dei dati personali dal paese terzo o dall’organizzazione internazionale verso titolari del trattamento e responsabili del trattamento nello stesso o in un altro paese terzo (omissis). (Considerando (101))
L’articolo 44 GDPR stabilisce che, in linea di principio, la conformità alle disposizioni del capo V è obbligatoria per i trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali, compresi i trasferimenti successivi
Il Regolamento subordina la legittimità dei trasferimenti di dati verso Paesi extra Ue ad una valutazione di adeguatezza da parte della Commissione europea circa il livello di protezione assicurato in quel determinato Stato (art. 41). Riguardo ai trasferimenti dalla UE agli USA, la clausola di adeguatezza era costituita dal Privacy Shield. In assenza di una decisione di tale ordine, il trasferimento potrà avvenire solo in presenza di garanzie adeguate (ad esempio, clausole tipo di protezione dei dati, norme vincolanti d’impresa, clausole contrattuali) o al ricorrere di particolari evenienze (rispettivamente, artt. 42 e 44).
Si tratta di deroghe che vanno, quindi, interpretate in senso restrittivo.
Per trasferire dati verso paesi terzi che non garantiscono un adeguato livello di protezione dei dati, il Titolare del trattamento può utilizzare ulteriori strumenti contrattuali, sottoponendo il flusso di dati all'esame della Autorità di vigilanza e dimostrando che vi è una base giuridica per il trasferimento e la presenza di misure atte a garantire un'adeguata tutela dei dati presso il destinatario.
A decorrere dal 12 luglio 2016, la Commissione adottava il nuovo regime introdotto dall’EU-US Privacy Shield il quale disciplinava il trasferimento dei dati personali dalla UE agli USA; trattasi, quindi, di un accordo tra la Unione Europea e gli USA in attuazione del quale le imprese americane devono rispettare una serie di obblighi finalizzati a tutelare i dati personali dei cittadini europei.
Suddetto accordo, nato a seguito della invalidazione – da parte della Corte di Giustizia europea – del precedente accordo, denominato “Safe Harbor” (si rinvia alla sentenza del 6 ottobre 2015 nella causa C-362/14 Maximillian Schrems contro Data Protection Commissioner, con la quale la Corte di giustizia dell'Unione europea aveva dichiarato invalida la decisione 2000/520/CE) stabilisce che le autorità statunitensi vigilino ed assicurino il rispetto dell’accordo e collaborino con le autorità europee per la protezione dei dati.
Il Privacy Shield prevedeva:
Secondo quanto previsto dal Regolamento Generale sulla Protezione dei Dati (di seguito “GDPR”) il trasferimento di dati personali verso un Paese terzo (in questo caso gli USA) può avvenire, in linea di principio, solo se il Paese terzo considerato garantisce a tali dati un adeguato livello di protezione. Secondo il GDPR, la Commissione Europea ha il potere di verificare che, grazie alla sua legislazione nazionale o ad impegni internazionali, il Paese terzo destinatario dei dati assicuri un livello di protezione adeguato. In mancanza di una decisione di adeguatezza, le deroghe previste dall’art. 49 del GDPR non risultano essere applicabili per cui un trasferimento di dati personali può essere effettuato solo se il soggetto – stabilito nella UE - che comunica i dati (società private, enti pubblici, ecc. o soggetti incaricati/convenzionati con queste), preveda garanzie adeguate, le quali possano risultare, in particolare, da clausole tipo (c.d. CCS – Clausole Contrattuali Standard) di protezione dei dati adottate dalla Commissione, e se gli interessati dispongano di diritti azionabili e di mezzi di ricorso effettivi nel paese terzo.
La corte di Giustizia ha dichiarato che:
Per tale motivazione, considerato che il Privacy Shield costituisce decisione di adeguatezza verso gli USA e considerando che tale accordo è stato dichiarato invalido, è necessario procedere con una revisione degli accordi con i fornitori (Responsabili del Trattamento) al fine di verificare se tra i paesi destinatari di dati personali (in maniera diretta o indiretta) figurino gli USA e quale sia la modalità normativa concordata per il trasferimento dei dati (se si basi o meno sul c.d. Privacy Shield o su Clausole Contrattuali Standard – decisione 2010/87).
Gli ambiti interessati dalla decisione della Corte Europea sono costituiti – tra i tanti – da:
Da considerare inoltre che, in base alla FAQ n.5 dell’European Data Protection Board (c.d. “EDPB”) del 23 luglio 2020, al fine di non dover sospendere i trattamenti che prevedano il trasferimento di dati negli USA è necessario procedere con una valutazione di impatto sulla protezione dei dati personali (Data Protection Impact Assessment – DPIA) per ognuno di tali trattamenti al fine di poter valutare ed adottare eventuali misure integrative. Alla luce della sentenza in oggetto, considerando che, “le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autorità statunitensi, dei dati trasferiti dall’Unione verso tale Paese terzo, e che sono state valutate dalla Commissione nella decisione 2016/1250, non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dal principio di proporzionalità”, l’esito della valutazione dovrà essere notificato al Garante Privacy (Authority Nazionale) al fine di poter ricevere indicazioni finalizzate all’individuazione di misure di sicurezza e cautele tali da poter garantire un trasferimento di dati personali adeguato.
Nell’attesa di ricevere da parte delle autorità garanti europee e nazionale delle indicazioni più precise sulle modalità di risoluzione della problematica, si consiglia di procedere come appresso schematizzato.
Per i trattamenti di dati personali in essere:
Per i trattamenti di dati personali da compiere:
Nel caso in cui nei sopra indicati trattamenti risultino essere indispensabili i trasferimenti di dati negli USA, è necessario procedere con specifiche valutazioni di impatto sulla protezione dei dati (DPIA).
Qualora a seguito di una DPIA emerga che il trattamento presenta rischi elevati per i diritti e le libertà delle persone fisiche e il rischio non possa essere ragionevolmente attenuato alla luce delle tecnologie disponibili e dei costi di attuazione, il titolare del trattamento dovrà consultare l’Autorità di controllo prima di intraprendere l’attività di trattamento.