La Corte di Giustizia dichiara invalido l’accordo “Privacy Shield” per il trasferimento dei dati personali dalla UE verso gli USA.

Premessa

Il Privacy Shield è un accordo tra la Commissione europea e il Segretario al Commercio USA che consentiva la comunicazione del dato del soggetto residente in Europa verso le aziende statunitensi aderenti a tale accordo. Il Privacy Shield è nato a seguito dell’annullamento del precedente accordo Safe Harbour, verificatosi a seguito di una sentenza della Corte di Giustizia europea nel 2015.

La decisione della Corte di Giustizia del 17 luglio 2020 è destinata ad avere pesanti ripercussioni sia politiche, nei rapporti UE/USA, che pratiche, per i provider USA e le aziende italiane.

La decisione

Ai sensi del regolamento generale sulla protezione dei dati (di seguito “RGDP”) il trasferimento dei dati verso un Paese posto al di fuori dell’UE può avvenire, in linea di principio, solo se il Paese terzo considerato garantisce un adeguato livello di protezione. Secondo tale regolamento, la Commissione può constatare che, grazie alla sua legislazione nazionale o ad impegni internazionali, un Paese terzo assicura un livello di protezione adeguato (la decisione 206/1250, oggetto di annullamento, riguarda proprio l’export di dati in USA).

In mancanza di una decisione di adeguatezza, un trasferimento può essere effettuato solo se l’esportatore dei dati personali, stabilito nell’Unione, preveda garanzie adeguate, le quali possono risultare, in particolare, da clausole contrattuali tipo adottate dalla Commissione (decisione 2010/87), e se gli interessati dispongono di diritti azionabili e di mezzi di ricorso effettivi.

In mancanza di una decisione di adeguatezza o di garanzie adeguate, il RGDP stabilisce, in via ultimativa, a quali condizioni possa avvenire un trasferimento siffatto.

Il livello di protezione richiesto nell’ambito di un trasferimento extra UE è sostanzialmente equivalente a quello garantito all’interno dell’Unione dal RGPD, letto alla luce della Carta dei diritti fondamentali dell’UE. La valutazione del suddetto livello di protezione riguarda sia quanto stipulato contrattualmente tra le parti (esportatore dei dati stabilito nell’Unione e il destinatario del trasferimento stabilito nel Paese terzo) sia l’eventuale accesso da parte delle pubbliche autorità di tale Paese terzo ai dati così trasferiti, oltre agli elementi pertinenti del sistema giuridico del paese di approdo dei dati.

Nello specifico, la normativa che disciplina i programmi di sorveglianza USA non minimizza il trattamento dei dati dei residenti in UE, anzi dall’analisi della stessa non emerge in alcun modo l’esistenza di limiti all’autorizzazione dell’attuazione di tali programmi e neppure l’esistenza di garanzie per gli stranieri che possono esserne potenzialmente oggetto.

La Corte aggiunge che la normativa non conferisce agli interessati diritti nei confronti delle autorità statunitensi azionabili dinanzi ai giudici ed anzi, in caso di controversie, è previsto il ricorso ad un meditatore che non offre garanzie di imparzialità.

Per tutte queste ragioni la Corte ha dichiarato invalida la decisione 2016/1250 sull’accordo Privacy Shield.

La Corte ha dichiarato inoltre che, in assenza di una decisione di adeguatezza validamente adottata dalla Commissione, il Garante Privacy è tenuto a sospendere o vietare un trasferimento di dati personali verso un Paese terzo quando ritenga, alla luce delle circostanze proprie di tale trasferimento, che non sussistano i presupposti di cui sopra.

La Corte ha giudicato invece valida la decisione 2010/87 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a soggetti stabiliti in Paesi terzi. Certo è che le motivazioni dell’annullamento del Privacy Shield avranno effetti anche sulle clausole contrattuali standard, a parità di condizioni.

Quindi i provider USA che sino ad oggi hanno utilizzato la base giuridica del Privacy Shield per il trasferimento dati dall’UE agli USA dovranno adottare una diversa soluzione, come ad esempio le clausole contrattuali standard. L’azienda italiana, in qualità di esportatore del dato, ed il Garante Privacy,  dovranno effettuare una valutazione complessa in merito all’adeguatezza delle garanzie offerte dal soggetto che importa i dati e dalla normativa vigente in tale paese, con i conseguenti profili di responsabilità.

Implicazioni pratiche

Annullamento del Privacy Shield: impatto sulle attività aziendali

  • La decisione 2016/1250 non riguarda i trasferimenti di dati necessari verso gli USA (ad es. invio di e-mail ad un soggetto in USA, prenotazione viaggio in USA).

  • Quando si esternalizza in USA, per motivi di convenienza anche se tecnicamente i dati potrebbero essere memorizzati all'interno dell'UE/SEE, non esiste una deroga generale (ai sensi dell'articolo 49 del GDPR) per il trasferimento di dati verso gli Stati Uniti ma deve essere utilizzato uno strumento legale alternativo come le clausole contrattuali standard, il Privacy Shield o le norme vincolanti di impresa. A seguito della decisione in commento il Privacy Shield non è più utilizzabile.

  • Le aziende possono continuare ad utilizzare provider USA? Al momento la risposta appare negativa, poiché tutti i principali provider sono sottoposti alla potenziale sorveglianza del governo USA.

  • Le aziende possono continuare ad utilizzare provider USA con sedi in UE? In questi casi, le società europee hanno la responsabilità di garantire che i flussi di dati personali "interni al Gruppo" verso gli USA siano conformi al RGDP. Le aziende dovranno ora esaminare attentamente tutti questi flussi di dati e stabilire se conservare i dati in Europa o in qualsiasi altro paese che garantisca una migliore protezione della privacy, invece di essere trasferiti negli Stati Uniti e, quindi, essere oggetto di una potenziale sorveglianza governativa.


Annullamento del Privacy Shield: impatto sui diritti dei consumatori

  • Gli utenti sono liberi di inviare consapevolmente i propri dati personali direttamente a un paese terzo, ad esempio quando utilizzano un sito web cinese o USA. Tuttavia, non è possibile condividere direttamente i dati di altre persone (ad es. amici, colleghi) con un fornitore statunitense, a meno che non si sia ottenuto il loro consenso libero, specifico, informato ed inequivocabile.