Il Privacy Shield non è valido: a quali condizioni possono essere trasferiti i dati personali negli USA?

La Corte di Giustizia UE, con sentenza del 16 luglio 2020 (caso C-311/18 o “Schrems II”), ha dichiarato invalida la decisione di esecuzione (UE) 2016/1250 sull’adeguatezza della protezione offerta dal c.d. Privacy Shield, l’accordo tra USA e UE sulla privacy. Con questa decisione la Commissione UE assicurava che gli USA, grazie al regime del Privacy Shield, garantivano un livello di protezione adeguato dei dati personali trasferiti dall’UE e, in tal senso, autorizzava questi trasferimenti verso gli enti statunitensi aderenti al regime.

Il principio generale del GDPR rispetto ai trasferimenti di dati personali in Stati non UE prevede che i dati possano essere trasferiti soltanto se il livello di protezione offerto alle persone in Europa non sia pregiudicato. A questo scopo, il trasferimento è permesso solo nel rispetto di determinate condizioni, da intendersi in modo gerarchico: chi desidera esportare dati, cioè, non può avvalersi di alcune condizioni (es. il consenso della persona interessata) quando sia possibile avvalersi di determinate altre (es. norme vincolanti d’impresa).

La prima condizione è la presenza di una decisione di adeguatezza della Commissione UE: rispetto agli USA, invalidata la decisione di adeguatezza sul Privacy Shield, occorrerà verificare la sussistenza di una delle altre condizioni previste e, in particolare, delle cc.dd. garanzie adeguate.

Tra le garanzie adeguate, un ruolo centrale è rivestito dalle clausole tipo di protezione dei dati (o SCCs, “Standard Contractual Clauses”) adottabili dalla Commissione UE. Con la decisione in esame, la Corte ha chiarito che le SCCs adottate dalla Commissione (decisione 2010/87/UE), pur valide, impongono a chi intende esportare i dati di garantire che i diritti delle persone interessate godano di un livello di protezione adeguato, cioè sostanzialmente equivalente a quello garantito nell’Unione dal GDPR, letto alla luce della Carta dei diritti fondamentali UE. A tale scopo, risulta indispensabile valutare sia le clausole contrattuali convenute con il destinatario del trasferimento stabilito nel Paese terzo sia, in merito a un eventuale accesso delle autorità pubbliche di tale Paese ai dati trasferiti, gli elementi rilevanti del sistema giuridico di quest’ultimo (valutando gli stessi elementi che la Commissione UE deve considerare in sede di adozione di una decisione di adeguatezza, es. il rispetto dei diritti umani da parte del Paese terzo).

Gli enti che utilizzano le SCCs hanno la responsabilità di svolgere questi adempimenti con valutazione caso per caso. Qualora le verifiche diano esito negativo, le SCCs non potranno essere utilizzate e l’esportatore sarà obbligato a cessare immediatamente il trasferimento, se già in essere, a meno che sia in grado di individuare garanzie supplementari (rispetto a quelle delle SCCs) idonee a garantire un livello di protezione adeguato. In mancanza, la competente autorità di controllo avrà l’obbligo di intervenire ordinando la sospensione o il divieto del trasferimento, nel caso in cui la protezione dei dati garantita dall’UE non possa essere assicurata con altri mezzi.

In mancanza di SCCs, i trasferimenti potrebbero essere effettuati in base a una delle altre garanzie adeguate previste dall’art. 46 del GDPR (es. norme vincolanti d’impresa). Al riguardo, si evidenzia che anche queste condizioni possono essere sfruttate solo previa effettuazione delle verifiche necessarie a garantire che il Paese di destinazione offra un livello di protezione adeguato. In tal senso, è probabile che l’impossibilità di utilizzare le SCCs per ragioni connesse alla legislazione del Paese terzo (es. rispetto agli USA, l’art. 702 FISA in materia di sorveglianza per l’intelligence esterna) osti anche alla possibilità di avvalersi delle altre “garanzie adeguate”.

In ultimo, nell’impossibilità di fruire delle SSCs e delle altre garanzie adeguate, il trasferimento potrà essere effettuato soltanto nel rispetto delle eccezionali deroghe previste dall’art. 49 del GDPR (es. in base al consenso esplicito dell’interessato o, in via occasionale, in presenza della necessità di eseguire un contratto con la persona interessata). In merito, è bene chiarire che esportare dati in base a queste deroghe richiede una valutazione legale particolarmente approfondita, basata sulle specifiche caratteristiche del caso concreto. Come chiarito dall’EDPB nelle linee guida 2/2018, inoltre, l’utilizzo di queste deroghe pone rischi maggiori per gli interessati e, in applicazione del principio di responsabilizzazione (c.d. Accountability), impone una maggiore attenzione a carico dell’esportatore. Quest’ultimo, infatti, deve garantire anche in questi casi il rispetto del principio fondamentale in materia: il trasferimento dei dati non deve mai portare a situazioni in cui i diritti fondamentali potrebbero essere violati.

(Corte di Giustizia UE, sentenza del 16 luglio 2020 relativa alla causa C-311/18)