La CGUE, con la sentenza Schrems II, emessa il 16 luglio 2020 (anche nota come “Data Protection Commissioner contro Facebook Ireland Limited e Maximillian Schrems, C-311/18”) ha sancito la non esportabilità dei dati personali degli utenti Europei verso gli Stati Uniti.
In particolare, la Corte ha rigettato i motivi con i quali Facebook Ireland Ltd si opponeva all’operato dell’Autorità Britannica per la protezione della privacy, stabilendo che il trasferimento non potesse essere consentito qualora il Paese ricevente non rispettasse i requisiti di protezione dei dati richiesti nell’UE.
La decisione ha influito in maniera imponente nel panorama europeo: molte Autorità locali, infatti, hanno ordinato la sospensione dei trasferimenti di dati verso società degli US. Ciò è avvenuto soprattutto in ragione della considerazione che nella maggior parte dei casi il trasferimento si basava sulle cosiddette SSCs (Standard Contractual Clauses), o clausole tipo: si tratta di clausole standardizzate che, benchè approvate dalla CGUE, non possono garantire l’effettivo rispetto dei diritti dei titolari dei dati da parte del paese terzo.
Alla sentenza Schrems II hanno fatto seguito molte altre decisioni, tutte dello stesso segno e tutte concordi nel ritenere che la disciplina basata sulle SSCs non fosse adeguata.
L’EDPB, successivamente alla sentenza della CGUE, ha pubblicato una sezione di FAQ in merito alla sentenza della Corte di giustizia dell’Unione europea Schrems II, per aiutare Titolari e Responsabili a meglio comprendere alcuni aspetti rilevanti di una sentenza dall’impatto così dirompente.
Inoltre, il 10 novembre 2020, ha adottato le Raccomandazioni 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE.
Il primo strumento raccomandato dall’EDPB è sicuramente una “mappatura” delle destinazioni, ovvero la tenuta di un registro in cui si annoti e verifichi la destinazione dei dati trattati e i successivi trasferimenti.
In particolare, il Titolare che utilizzi un cloud internazionale, deve valutare se i dati saranno trasferiti fuori UE e in quali paesi, salvo che il cloud provider non dichiari contrattualmente che i dati non saranno in alcun modo trattati in paesi terzi.
E’ prevista inoltre una procedura con la quale la Commissione, ex. Art. 45 GDPR emani una decisione di adeguatezza, che esime il titolare dall’adozione di ulteriori misure di sicurezza.
In assenza di tale decisione, il trasferimento è consentito ove il titolare o il responsabile del trattamento forniscano garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (art. 46 del Regolamento UE 2016/679).
Non basta adottare lo strumento individuato, ma bisogna verificarne la concreta efficacia, ovvero se i dati personali trasferiti utilizzando quello strumento ricevano nel paese terzo (o nei paesi terzi) un livello di protezione equivalente a quello garantito nel SEE o se esiste nella normativa qualcosa che possa incidere sull’efficacia delle garanzie.
A questo proposito risulta utile che il soggetto terzo che utilizza i dati fornisca le fonti, le leggi applicabili e ogni informazione rilevante relativa al paese terzo in cui è stabilito o in cui tratterà i dati.
Laddove la valutazione abbia concluso che lo strumento di trasferimento non è da solo efficace, il Titolare dovrà adottare delle misure supplementari, la cui valutazione è rimessa alla responsabilità del Titolare, che dovrà valutarle caso per caso.
La Commissione Europea ha, inoltre, pubblicato il 12 novembre 2020 dei nuovi modelli di clausole contrattuali tipo, integrati sulla base della decisione della CGEU, che prevedono garanzie più specifiche nel caso in cui la legislazione del paese terzo incida sul rispetto delle clausole, in particolare nei casi in cui autorità pubbliche chiedano accesso ai dati personali.
Le clausole tipo non sono ancora state adottate nella versione definitiva ma, in ogni caso, il problema risulterebbe comunque attuale perché tali clausole non sono in grado di vincolare il Paese Terzo al rispetto degli obblighi in esse contenute.
L’EDPB ha adottato anche una serie di raccomandazioni sulle garanzie essenziali UE relativamente alle misure di sorveglianza, complementari alle raccomandazioni sulle misure supplementari, che forniscono agli esportatori elementi utili a stabilire se il quadro giuridico che disciplina in paesi terzi l’accesso delle autorità pubbliche ai dati per fini di sorveglianza non sia in contrasto con gli impegni assunti dall’esportatore e dall’importatore attraverso gli strumenti di trasferimento ex art. 46 del GDPR.
L’attuale disciplina, insomma, impone una severa valutazione caso per caso sull’effettivo rispetto delle condizioni imposte dalla disciplina europea, valutazione da effettuare da parte del Titolare del Trattamento con tutti gli strumenti utili e con l’ausilio delleLinee Guida e delle Raccomandazioni emanate dall’EDPB e dall’EDPS (il Garante europeo per la protezione dati). Il titolare, dunque, non potrà prescinderne nemmeno quando il terzo abbia siglato le SSCs.
Irene del Gaudio