Beatrice Bardelli

La Corte di Giustizia dell’Unione Europea (CGUE) si è pronunciata il 16 Luglio 2020 con la cosiddetta “Sentenza Schrems II” invalidando la decisione di adeguatezza delle tutele offerte dal regime del Privacy Shield, l’accordo UE-USA per la protezione dei dati personali oggetto di trasferimento transatlantico, valutando la normativa degli Stati Uniti (Art. 702 della FISA ed EO 12333) non adeguata a garantire un livello di protezione sostanzialmente equivalente a quello previsto dal regolamento europeo 679/2016.

Da più parti l’interrogativo: “Che cosa cambia per chi trasferiva dati negli Stati Uniti o in paesi terzi extra europei o si avvaleva di fornitori che appoggiano i loro servizi all’estero basandosi sulla legittimità del trasferimento su Privacy Shield? Occorre rifare tutti i contratti?”.

Con la dichiarata invalidità dell’accordo di Privacy Shield i trasferimenti sulla base di tale quadro giuridico sono illegali.

Pertanto, qualora si desideri continuare a trasferire i dati verso gli Stati Uniti, occorre verificare se ciò sia possibile secondo le condizioni di seguito indicate.

È chiaro che come espresso dal GDPR i trattamenti effettuati dal responsabile esterno per conto del titolare dovranno ancora essere disciplinati da un contratto che specifichi la durata, la natura, le finalità del trattamento, i tipi di dati trattati (art. 28) e le misure tecniche organizzative messe in atto per garantire un adeguato livello di sicurezza (art.32)

Questo accordo tra le parti è costituito dal cosiddetto “DPA” – Data Processing Agreement. Un DPA è richiesto generalmente quando il responsabile del trattamento elabora i dati personali a lui affidati per conto del titolare.

Nel caso in cui il responsabile esterno effettui anche il trasferimento dei dati in paesi extra UE, in assenza di valutazioni di adeguatezza del paese di destinazione, è necessario integrare questo contratto tra le parti prevedendo misure e garanzie ulteriori, le cosiddette Clausole contrattuali standard.

Nelle conclusioni della sentenza sopra citata, la Corte di Giustizia Europea ha dichiarato che, in seguito all’esame della decisione n. 2010/87/CE della Commissione europea, le clausole contrattuali tipo (“SCC”) mantengono la loro validità. Lo stesso vale per le norme vincolanti d’impresa, con l’aggiunta, come vedremo di seguito, di particolari valutazioni in merito all’adeguatezza del Paese di destinazione e una forte responsabilizzazione sia dei titolari del trattamento che dei responsabili esterni.

Le Clausole Contrattuali Standard (SCC – Standard Contractual Clauses) e le Norme Vincolanti D’Impresa (BCR – Binding Corporate Rules)

Riprendendo le definizioni che si possono trovare sul sito del Garante italiano al seguente LINK, vediamo ora in cosa consistono le Clausole Contrattuali Standard e le Norme vincolanti d’impresa.

• Le Clausole Contrattuali Standard (“SCC – Standard Contractual Clauses”), rappresentate da clausole tipo o clausole contrattuali ad hoc per la protezione dei dati, vengono incorporate negli accordi contrattuali utilizzati per il trasferimento dei dati, stipulati tra il titolare (o il responsabile esterno) europeo esportatore dei dati e il titolare (o responsabile esterno) extra europeo importatore dei dati.
  In pratica, incorporando il testo delle clausole contrattuali in questione in un contratto utilizzato per il trasferimento, l’esportatore dei dati garantisce che questi ultimi saranno trattati conformemente ai principi stabiliti nel Regolamento anche nel Paese terzo o all’interno dell’organizzazione di destinazione. È importante sottolineare che le clausole tipo di protezione dati non ammettono modifiche e devono essere sottoscritte dalle parti. Tuttavia, esse possono essere incorporate in un contratto più generale e vi si possono aggiungere clausole ulteriori purché non in conflitto, direttamente o indirettamente, con le clausole tipo adottate.
• Le Norme Vincolanti D’Impresa (“BCR” – Binding Corporate Rules) sono, invece uno strumento volto a consentire il trasferimento di dati personali dal territorio dello Stato verso Paesi terzi nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune.
  Le BCR costituiscono un meccanismo in grado di semplificare gli oneri amministrativi a carico delle società di carattere multinazionale con riferimento ai flussi intra-gruppo di dati personali.
  Sono costituite da un documento contenente una serie di clausole che fissano i principi vincolanti espressamente individuati all’art. 47, paragrafi 1 e 2, del Regolamento UE 2016/679, al cui rispetto sono tenute tutte le entità appartenenti ad uno stesso gruppo.

È quindi ancora possibile trasferire i dati in un paese terzo extra europeo integrando i propri contratti con le Clausole contrattuali standard o le norme vincolanti d’impresa. Occorre però, a questo punto, verificare che il livello di protezione richiesto dal diritto dell’Unione europea sia rispettato nel Paese terzo in questione al fine di determinare se le garanzie fornite possano essere rispettate anche nella pratica. In caso contrario, come chiarito dalle FAQ dell’EDPB sulla sentenza Schrems II (è possibile leggere le FAQ tradotte dal Garante italiano QUI), occorre valutare se sia possibile prevedere misure supplementari da introdurre, che devono essere però stabilite caso per caso, al fine di garantire un livello di protezione sostanzialmente equivalente a quello previsto nello Spazio economico europeo. In particolare, occorre assicurarsi che la legislazione del paese terzo verso cui si trasferiscono i dati non consenta interferenze nei riguardi di tali misure supplementari con il rischio di comprometterne di fatto l’efficacia.

Qualora l’esportatore o l’importatore dei dati nel paese terzo constati che i dati trasferiti ai sensi delle SCC o delle BCR non godono delle medesime garanzie previste dall’Unione europea, occorre sospendere immediatamente i trasferimenti.

Le deroghe previste dall’articolo 49 del GPDR

In alternativa, qualora non sia possibile effettuare un trasferimento basandosi su una decisione di adeguatezza, sulle SCC o sulle BCR, è ancora possibile trasferire i dati personali negli Stati Uniti in base ad alcune deroghe previste dall’articolo 49 del GDPR, purché siano soddisfatte le condizioni espresse in tale articolo.

Tra le varie possibilità a disposizione è possibile decidere di basare il trasferimento sul consenso dell’interessato ma è opportuno ricordare che, quando i trasferimenti sono basati sul consenso, esso dovrebbe essere:

• esplicito;
• specifico, con riguardo al particolare trasferimento o insieme di trasferimenti (il che significa che l’esportatore deve assicurarsi di ottenere un consenso specifico prima che il trasferimento sia messo in atto anche se ciò avviene dopo la raccolta dei dati);
• informato, in particolare sui possibili rischi del trasferimento (il che significa che l’interessato dovrebbe essere informato anche dei rischi specifici derivanti dal trasferimento dei dati verso un paese che non fornisce una protezione adeguata, e dell’assenza di misure di salvaguardia adeguate volte a proteggere i dati).

“Andreste in questa bellissima casa in mezzo al bosco con tutti i servizi, per una vacanza pagata di un anno, ma senza connessione internet, né cellulare?”.

Quante volte avete letto questo annuncio sulle pagine dei social e tra gli articoli di numerosi giornali online?

Nessuno, di primo acchito rinuncerebbe ad una vacanza pagata di un anno, anche a costo di qualche sacrificio. Eppure, più passa il tempo, più l’idea di stare staccati dalla rete – da tutti i servizi della rete – per 365 giorni diventa un tarlo che ingrassa e si fa più minaccioso.

La rete, un servizio sempre più essenziale

Certo, ci sarà qualcuno che accetterà, ma per la maggior parte di noi altri la verità è un’altra: la connessione di rete internet – più comunemente conosciuta come: internet – è diventata un servizio essenziale, al pari di luce, acqua e gas.

E ai primi della classe che stanno già alzando la mano per dire che gli altri sono servizi vitali, ricordo che fino a 100 anni fa si viveva in case senza elettricità, prendendo l’acqua dai pozzi vicini, e scaldandosi come si poteva. Le società cambiano e diventano più complesse, e più questa complessità aumenta, più i servizi fino a pochi anni prima considerati accessori diventano imprescindibili.

Pensiamo solamente alla quarantena che ci ha costretto in casa nei mesi della pandemia.

Al di là dell’utilizzo consumistico della rete per acquisti o per fruire di contenuti, la connessione è stata fondamentale per portare avanti lezioni online, smartworking, comunicare con chi viveva in situazioni di disagio, malattia o anche, semplicemente, solitudine.

O ancora la posta elettronica, diventato il più importante mezzo di comunicazione sia in ambito privato che professionale, sostituendo lettere cartacee, fax e altre modalità ormai desuete. Anche per il garante della privacy la posta elettronica deve avere la stessa tutela di quella ordinaria. Per non parlare della PEC, la posta elettronica certificata, spesso l’unico canale di comunicazione con le pubbliche amministrazioni, per il valore legale di raccomandata con avviso di ricevimento.

Internet come utilities: giurisprudenza e DPO

La giurisprudenza italiana definisce servizi pubblici essenziali “le prestazioni di rilevante interesse pubblico e generale, destinate alla collettività da soggetti pubblici (Stato, Regioni, Città metropolitane, Province, Comuni, altri enti) o privati; esse sono indefettibili e garantite dallo stesso Stato”.

È un servizio inalienabile, che non può esserci tolto proprio perché garantisce il benessere della collettività. Tra i servizi pubblici ci sono quelli che riguardano la tutela della vita e la salute, la sicurezza, la libertà di circolazione, l’assistenza e la previdenza sociale, l’istruzione e anche la libertà di comunicazione.

Quest’ultimo paragrafo contempla poste, telecomunicazione e informazione radiotelevisiva. Basta aggiornarlo un po’, ed ecco che diventa Internet. Ne consegue che la mancanza di connessione si trasforma in uno svantaggio non solo per i singoli che ne sono esclusi, ma anche per tutta la comunità, allo stesso modo di altri servizi essenziali (come ad esempio la raccolta dei rifiuti, non viene danneggiato solo chi ne è escluso).

Detta in altre parole, la fruizione di internet non può più essere considerata un lusso, ma deve essere una necessità.

Il fornitore del servizio di connessione, o chi lo gestisce, da questo punto di vista, viene in tutto e per tutto associato alle utilities, ovvero tutti quei servizi privati ma di pubblica utilità come la fornitura di luce, acqua e gas le cui attività principali, consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di dati su larga scala, ma necessitano anche della costante verifica delle misure di sicurezza. Proprio per la natura particolare di questi servizi, appunto essenziali, non si può rischiare una sospensione della fornitura a causa di una falla nella sicurezza.

Il DPO anche in assenza di obbligo

Ricordate quando abbiamo parlato del DPO, il supervisore della tutela dei dati?
Come detto questa figura è obbligatoria per le aziende pubbliche, e per tutte le utilities. Il Comitato europeo per la Protezione dei Dati (EDPB, un organismo indipendente europeo nato – tra le altre cose – per garantire un’applicazione conforme del GDPR), suggerisce la nomina di un DPO anche quando non obbligatorio, nei casi sopracitati.