Con la sentenza del 16/07/2020 la Corte di Giustizia Europea nella causa C-311/18 (c.d. Schrems II) ha dichiarato invalido il Privacy Shield riportando alta l’attenzione sulle criticità del trasferimento dei dati personali fuori dall’Area Economica Europea.
Compiendo un passo indietro, va chiarito a monte che la problematicità del trasferimento dei dati extra-UE deriva dal fatto che esso comporta la fuoriuscita delle informazioni relative a cittadini europei dall’area in cui è uniformemente applicabile il Reg. UE 679/2016 (GDPR), normativa che offre elevate garanzie di protezione delle persone fisiche con riferimento al trattamento dei loro dati personali.
Il trasferimento dei dati in Paesi terzi è, a ben vedere, possibile, ma solo se vengono rispettati alcuni requisiti previsti dal Capo V del GDPR: tra questi vi è la presenza di una decisione di adeguatezza ai sensi dell’art. 45. In particolare, come decisione di adeguatezza per i trasferimenti di dati da Europa a USA, nel 2016 è stato adottato il Privacy Shield.
Il Privacy Shield è un accordo intervenuto tra UE e USA che imponeva alle imprese statunitensi obblighi più stringenti di tutela dei dati personali degli europei. Il Privacy Shield prevedeva che le autorità americane vigilassero e assicurassero con più forza il rispetto della privacy degli interessati e che collaborassero in misura maggiore con le Autorità europee per la protezione dei dati.
L’accordo conteneva, inoltre, dichiarazioni e impegni assunti formalmente per quanto riguarda l’accesso ai dati da parte di soggetti dell’Amministrazione americana.
Il percorso che ha portato all’annullamento del Privacy Shield ha le sue origini nel 2013, quando la denuncia nei confronti di Facebook Ireland Ltd da parte dell’attivista austriaco Maximilan Schrems – finalizzata a vietare a Facebook di trasferire ulteriormente i dati dall’Irlanda agli Stati Uniti – nel 2005 portò alla sentenza cd. Schrems I.
Schrems criticava nello specifico l’ingerenza delle istituzioni americane nella privacy degli interessati, i quali erano privi di strumenti giuridici adeguati per poter esercitare i loro diritti.
Accogliendo queste doglianze, la Corte di Giustizia dell’Unione Europea con la sentenza Schrems I invalidava il Safe Harbour, ossia l’accordo tra Unione Europea e Stati Uniti risalente al 2000 che fino a quel momento aveva consentito il trasferimento di dati personali verso gli USA da parte delle multinazionali europee per fini commerciali.
Fuorono proprio le difficoltà di gestione dei flussi di dati verso l’estero che l’annullamento del Safe Harbour aveva comportato a imporre la necessità di un nuovo accordo che offrisse maggiori garanzie di data protection: appunto, il Privacy Shield. In sostanza, dunque, verso le imprese che avevano volontariamente aderito al Privacy Shield i dati personali potevano (fino alla successiva sentenza Schrems II della CGUE) essere legittimamente trasferiti ai sensi dell’art. 45 del GDPR.
Le tutele fornite dal nuovo accordo risultavano, tuttavia, a parere di Schrems ancora troppo deboli.
Da un lato, veniva contestata l’impossibilità per i cittadini europei di fare ricorso ad un giudice ordinario, in violazione della Carta dei diritti fondamentali dell’UE. Dall’altro, l’attivista lamentava che le potenziali ingerenze del governo statunitense non erano arginate in maniera sufficiente dalle standard contractual clauses, giàintrodotte negli anni Novanta dalla cd. “Direttiva Madre” 95/46/CE e previste successivamente anche dal GDPR all’art. 46. Nello specifico, la critica era rivolta ai programmi americani di sorveglianza di massa, e alla raccolta, da parte delle agenzie di sicurezza degli Stati Uniti, di informazioni relative ai cittadini tramite i servizi forniti dai giganti del web.
Accogliendo le critiche di Schrems, la CGUE ha da ultimo invalidato anche il Privacy Shield ritenendo sproporzionate le ingerenze e i controlli da parte dell’amministrazione statunitense sul trattamento dei dati personali dei cittadini europei. Nello specifico, il Privacy Shield faceva prevalere sulla tutela dei dati le esigenze relative alla sicurezza nazionale, all’interesse pubblico e al rispetto della normativa degli USA, anche quando non strettamente necessario. In questo modo consentiva deroghe, ingiustificate dalla normativa privacy dell’UE, ai diritti fondamentali delle persone fisiche i cui dati venivano trasferiti negli USA.
Per quanto riguarda invece le clausole contrattuali standard, esse rimangono formalmente valide, ma devono essere utilizzate solo dopo avere esaminato con attenzione le norme che incidono sulla data protection osservate nel Paese in cui vengono trasferiti i dati.
Questo aspetto fa riflettere sulla circostanza per cui la decisione della CGUE non incida unicamente sul flusso di dati verso gli USA, ma anche su tutti i trattamenti di dati extra-UE finora basati sulle standard contractual clauses la cui verifica avrà difficilmente un esito positivo nei i casi in cui i trasferimenti di dati avverranno verso Paesi terzi, molti dei quali rilevanti sotto il profilo commerciale, ma sui quali non è intervenuta una decisione di adeguatezza dal parte della Commissione Europea.
La conseguenza più evidente della sentenza Schrems II è rappresentata dai rapporti commerciali tra l’UE e i colossi del web che trattano i dati personali degli europei in America.
Si pensi al caso di aziende stabilite in Unione Europea che trasmettono i dati personali di cui sono titolari a società che si trovano negli USA, anche, ad esempio, utilizzando software, servizi cloud, servizi di comunicazione e social network statunitensi o che, ad esempio, hanno i loro server negli USA o consultano dati negli USA.
È indubbio che le società che in questo modo trasferiscono le informazioni personali dei propri clienti, utenti, dipendenti, e così via, in USA a società che hanno aderito al Privacy Shield, non potranno più farlo sulla base di questo accordo
Per comprendere se la propria azienda trasmette dati negli Stati Uniti occorre verificare gli appositi accordi con le società statunitensi, le sedi in cui operano tutti i fornitori e dove risiedono i server degli stessi.
Solo a titolo di esempio l’azienda trasferisce dati in USA se utilizza i seguenti fornitori che hanno aderito al Privacy Shield: IBM, Google, Amazon, Microsoft, Dropbox, Whatsapp, MailChimp, Facebook, LinkedIn, YouTube, Twitter, Pinterest, WeTransfer. Si tratta ovviamente di un elenco non esaustivo, dal momento che al Privacy Shield hanno aderito più di 5000 organizzazioni oltreoceano.
Si pensi, ad esempio, nel settore della sanità, a database utilizzati a fini di ricerca scientifica trasferiti per le attività di data analysis negli Stati Uniti, o ai servizi di cloud utilizzati dalle strutture sanitarie i cui server sono localizzati negli USA o ancora ai fabbricanti di dispositivi medici custom made che hanno negli Stati Uniti la propria sede e ai quali devono necessariamente essere forniti i dati sanitari del paziente per la produzione del device.
Dal punto di vista pratico è complesso individuare ora dei rimedi a cui ricorrere con successo, ma sarà opportuno attendere le soluzioni – sia sul piano tecnologico che giuridico – che verranno proposte dai grandi del web.
Come primo passo le aziende stabilite in Europa dovranno innanzitutto verificare nel proprio Registro dei trattamenti, debitamente aggiornato, quali sono i fornitori (destinatari dei dati personali di cui l’azienda è titolare) che ricoprono il ruolo di Responsabili del trattamento ai sensi dell’art. 28 del GDPR e se nell’ambito dei contratti con questi fornitori si verifica un trasferimento dei dati negli USA.
Ove vi sia effettivamente un trasferimento, occorre verificare se esso avviene sulla base del Privacy Shield (posto che se il fornitore è tra quelli sopra indicati, tale circostanza è già confermata). In questo caso, infine, bisogna esaminare se è possibile optare per soluzioni di erogazione dei servizi in area UE nell’ambito del rapporto col medesimo fornitore o se sarà possibile utilizzare un diverso strumento di salvaguardia, evitando di dover richiedere il consenso agli interessati.
