Nella sentenza C-311/18 – Data Protection Commissioner/Facebook Ireland Ltd e Maximillian Schrems, la Corte di giustizia dell’Unione europea ha esaminato la validità della decisione n. 2010/87/CE della Commissione europea sulle CCS (“Clausole contrattuali tipo”) e ne ha ritenuto la validità.
La validità di tale decisione discende dalla palmare constatazione che le clausole tipo di protezione dei dati non sono vincolanti per le autorità del Paese terzo verso il quale i dati possono essere trasferiti, avendo esse natura contrattuale. Tale validità, ha aggiunto la Corte, dipende dall’esistenza all’interno della decisione 2010/87/CE di meccanismi efficaci che consentano, in pratica, di garantire il rispetto di un livello di protezione sostanzialmente equivalente a quello garantito dal GDPR all’interno dell’Unione europea, e che prevedano la sospensione o il divieto dei trasferimenti di dati personali ai sensi di tali clausole in caso di violazione delle clausole stesse o in caso risulti impossibile garantirne l’osservanza.
A tale riguardo, la Corte rileva, in particolare, che la decisione 2010/87/CE impone al mittente e al destinatario dei dati l’obbligo di verificare, prima di qualsiasi trasferimento, alla luce delle circostanze del trasferimento stesso, se tale livello di protezione sia rispettato nel Paese terzo in questione (sulla sentenza in Commento si è espresso l’EDPB, adottate il 23 luglio 2020 e tradotte dal Garante per la protezione dei dati personali).
1. Sentenza Schrems II e Privacy Shield
La Corte di Giustizia europea, con il presente provvedimento,ha esaminato la validità della decisione relativa al Privacy Shield (Decisione 2016/1250 sull’adeguatezza della protezione offerta dallo scudo UE-USA per la privacy), poiché i trasferimenti in esame nell’ambito della controversia che ha condotto alla domanda di pronuncia pregiudiziale si sono svolti tra l’UE e gli Stati Uniti.
Sul punto la Corte ha ritenuto che i requisiti del diritto interno degli Stati Uniti, e in particolare determinati programmi che consentono alle autorità pubbliche degli Stati Uniti di accedere ai dati personali trasferiti dall’UE agli Stati Uniti ai fini della sicurezza nazionale, comportino limitazioni alla protezione dei dati personali che non sono configurate in modo da soddisfare requisiti sostanzialmente equivalenti a quelli previsti dal diritto dell’UE e che tale legislazione non accordi ai soggetti interessati diritti azionabili in sede giudiziaria nei confronti delle autorità statunitensi.
Alla luce di tale grado di ingerenza nei diritti fondamentali delle persone i cui dati sono trasferiti verso gli Stati Uniti, la Corte ha dichiarato invalida la decisione sull’adeguatezza del Privacy Shield.
Ciò determina il ripercuotersi della decisione anche sugli altri strumenti di trasferimento diversi dal privacy Shield poiché, per i Paesi terzi, la soglia fissata dalla Corte si applica anche a tutte le garanzie adeguate ai sensi dell’articolo 46 del GDPR delle quali ci si avvalga per trasferire dati dal SEE a qualsiasi Paese terzo.
La normativa statunitense, vale a dire l’articolo 702 della FISA e l’Executive Order 12333, cui fa riferimento la Corte, si applica a qualsiasi trasferimento verso gli Stati Uniti per via elettronica, indipendentemente dallo strumento utilizzato per il trasferimento
Tale decisione ha ingenerato scompiglio a livello europeo in tutti i titolari del trattamento e loro consulenti, tanto più che la decisione non ha previsto alcun “periodo di grazia”, procedendo anzi ad annullare la validità del Privacy Shield senza preservarne gli effetti, in quanto la normativa americana che è oggetto di valutazione da parte della Corte non fornisce un livello di protezione sostanzialmente equivalente a quello dell’UE.
La soluzione suggerita dall’EDPB non lascia apparentemente via di scampo: i trasferimenti sulla base di tale quadro giuridico sono illegali e pertanto qualora un Titolare del trattamento desideri continuare a trasferire i dati verso gli Stati Uniti, dovrà verificare se ciò sia possibile sulla base delle attuali condizioni di liceità.
La Corte sottolinea che taluni programmi di sorveglianza che consentono alle autorità pubbliche statunitensi di accedere ai dati personali trasferiti dall’UE agli Stati Uniti per motivi di sicurezza nazionale non prevedono limitazioni al potere conferito alle autorità statunitensi né garanzie per soggetti non statunitensi potenzialmente sottoposti a tale sorveglianza.
2. Le clausole contrattuali-tipo (“CCS”)
L’articolo 702 della FISA si applica a ogni “fornitore di servizi di comunicazione elettronica” (cfr. la definizione di cui all’articolo 1881 dell’USC 50, lett. b), mentre l’Executive Order 12333 disciplina la sorveglianza elettronica, definita come “acquisizione di una comunicazione non pubblica con mezzi elettronici senza il consenso di una persona che è parte di una comunicazione elettronica o, in caso di comunicazione non elettronica, senza il consenso di una persona visibilmente presente nel luogo della comunicazione, con l’esclusione dell’impiego di dispositivi radio di direzionamento al solo scopo di stabilire la posizione di un apparato trasmittente” (3.4;b).
La Corte ha ribadito, pertanto, che la normativa degli Stati Uniti non garantisce un livello di protezione sostanzialmente equivalente. La possibilità o meno di trasferire dati personali sulla base di Clausole contrattuali tipo dipende dall’esito della valutazione che il Titolare dovrà compiere, tenuto conto delle circostanze del trasferimento e delle misure supplementari eventualmente messe in atto.
Le misure supplementari, unitamente alle Clausole contrattuali tipo, alla luce di un’analisi caso per caso delle circostanze del trasferimento, dovrebbero garantire che la normativa statunitense non interferisca con l’adeguato livello di protezione garantito dalle Clausole contrattuali tipo e dalle misure supplementari stesse.
Avverte però l’EDPB che qualora il Titolare europeo giunga alla conclusione che, tenuto conto delle circostanze del trasferimento e delle eventuali misure supplementari, non vi sarebbero adeguate garanzie, dovrà sospendere o porre fine al trasferimento di dati personali.
Nel caso in cui si intenda continuare, ciononostante, a trasferire i dati, dovrà informarne l’Autorità competente, vale a dire il Garante per la protezione dei dati personali.
… continua su EDICOLeA
