Cosa succede con la dichiarazione di illegittimità del Privacy Shield?

La Corte di Giustizia dell’Unione Europea (CGUE) si è pronunciata il 16 Luglio 2020 con la cosiddetta “Sentenza Schrems II” invalidando la decisione di adeguatezza delle tutele offerte dal regime del Privacy Shield, l’accordo UE-USA per la protezione dei dati personali oggetto di trasferimento transatlantico, valutando la normativa degli Stati Uniti (Art. 702 della FISA ed EO 12333) non adeguata a garantire un livello di protezione sostanzialmente equivalente a quello previsto dal regolamento europeo 679/2016.

Da più parti l’interrogativo: “Che cosa cambia per chi trasferiva dati negli Stati Uniti o in paesi terzi extra europei o si avvaleva di fornitori che appoggiano i loro servizi all’estero basandosi sulla legittimità del trasferimento su Privacy Shield? Occorre rifare tutti i contratti?”.

Con la dichiarata invalidità dell’accordo di Privacy Shield i trasferimenti sulla base di tale quadro giuridico sono illegali.

Pertanto, qualora si desideri continuare a trasferire i dati verso gli Stati Uniti, occorre verificare se ciò sia possibile secondo le condizioni di seguito indicate.

È chiaro che come espresso dal GDPR i trattamenti effettuati dal responsabile esterno per conto del titolare dovranno ancora essere disciplinati da un contratto che specifichi la durata, la natura, le finalità del trattamento, i tipi di dati trattati (art. 28) e le misure tecniche organizzative messe in atto per garantire un adeguato livello di sicurezza (art.32)

Questo accordo tra le parti è costituito dal cosiddetto “DPA” – Data Processing Agreement. Un DPA è richiesto generalmente quando il responsabile del trattamento elabora i dati personali a lui affidati per conto del titolare.

Nel caso in cui il responsabile esterno effettui anche il trasferimento dei dati in paesi extra UE, in assenza di valutazioni di adeguatezza del paese di destinazione, è necessario integrare questo contratto tra le parti prevedendo misure e garanzie ulteriori, le cosiddette Clausole contrattuali standard.

Nelle conclusioni della sentenza sopra citata, la Corte di Giustizia Europea ha dichiarato che, in seguito all’esame della decisione n. 2010/87/CE della Commissione europea, le clausole contrattuali tipo (“SCC”) mantengono la loro validità. Lo stesso vale per le norme vincolanti d’impresa, con l’aggiunta, come vedremo di seguito, di particolari valutazioni in merito all’adeguatezza del Paese di destinazione e una forte responsabilizzazione sia dei titolari del trattamento che dei responsabili esterni.

Le Clausole Contrattuali Standard (SCC – Standard Contractual Clauses) e le Norme Vincolanti D’Impresa (BCR – Binding Corporate Rules)

Riprendendo le definizioni che si possono trovare sul sito del Garante italiano al seguente LINK, vediamo ora in cosa consistono le Clausole Contrattuali Standard e le Norme vincolanti d’impresa.

• Le Clausole Contrattuali Standard (“SCC – Standard Contractual Clauses”), rappresentate da clausole tipo o clausole contrattuali ad hoc per la protezione dei dati, vengono incorporate negli accordi contrattuali utilizzati per il trasferimento dei dati, stipulati tra il titolare (o il responsabile esterno) europeo esportatore dei dati e il titolare (o responsabile esterno) extra europeo importatore dei dati.
  In pratica, incorporando il testo delle clausole contrattuali in questione in un contratto utilizzato per il trasferimento, l’esportatore dei dati garantisce che questi ultimi saranno trattati conformemente ai principi stabiliti nel Regolamento anche nel Paese terzo o all’interno dell’organizzazione di destinazione. È importante sottolineare che le clausole tipo di protezione dati non ammettono modifiche e devono essere sottoscritte dalle parti. Tuttavia, esse possono essere incorporate in un contratto più generale e vi si possono aggiungere clausole ulteriori purché non in conflitto, direttamente o indirettamente, con le clausole tipo adottate.
• Le Norme Vincolanti D’Impresa (“BCR” – Binding Corporate Rules) sono, invece uno strumento volto a consentire il trasferimento di dati personali dal territorio dello Stato verso Paesi terzi nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune.
  Le BCR costituiscono un meccanismo in grado di semplificare gli oneri amministrativi a carico delle società di carattere multinazionale con riferimento ai flussi intra-gruppo di dati personali.
  Sono costituite da un documento contenente una serie di clausole che fissano i principi vincolanti espressamente individuati all’art. 47, paragrafi 1 e 2, del Regolamento UE 2016/679, al cui rispetto sono tenute tutte le entità appartenenti ad uno stesso gruppo.

È quindi ancora possibile trasferire i dati in un paese terzo extra europeo integrando i propri contratti con le Clausole contrattuali standard o le norme vincolanti d’impresa. Occorre però, a questo punto, verificare che il livello di protezione richiesto dal diritto dell’Unione europea sia rispettato nel Paese terzo in questione al fine di determinare se le garanzie fornite possano essere rispettate anche nella pratica. In caso contrario, come chiarito dalle FAQ dell’EDPB sulla sentenza Schrems II (è possibile leggere le FAQ tradotte dal Garante italiano QUI), occorre valutare se sia possibile prevedere misure supplementari da introdurre, che devono essere però stabilite caso per caso, al fine di garantire un livello di protezione sostanzialmente equivalente a quello previsto nello Spazio economico europeo. In particolare, occorre assicurarsi che la legislazione del paese terzo verso cui si trasferiscono i dati non consenta interferenze nei riguardi di tali misure supplementari con il rischio di comprometterne di fatto l’efficacia.

Qualora l’esportatore o l’importatore dei dati nel paese terzo constati che i dati trasferiti ai sensi delle SCC o delle BCR non godono delle medesime garanzie previste dall’Unione europea, occorre sospendere immediatamente i trasferimenti.

Le deroghe previste dall’articolo 49 del GPDR

In alternativa, qualora non sia possibile effettuare un trasferimento basandosi su una decisione di adeguatezza, sulle SCC o sulle BCR, è ancora possibile trasferire i dati personali negli Stati Uniti in base ad alcune deroghe previste dall’articolo 49 del GDPR, purché siano soddisfatte le condizioni espresse in tale articolo.

Tra le varie possibilità a disposizione è possibile decidere di basare il trasferimento sul consenso dell’interessato ma è opportuno ricordare che, quando i trasferimenti sono basati sul consenso, esso dovrebbe essere:

• esplicito;
• specifico, con riguardo al particolare trasferimento o insieme di trasferimenti (il che significa che l’esportatore deve assicurarsi di ottenere un consenso specifico prima che il trasferimento sia messo in atto anche se ciò avviene dopo la raccolta dei dati);
• informato, in particolare sui possibili rischi del trasferimento (il che significa che l’interessato dovrebbe essere informato anche dei rischi specifici derivanti dal trasferimento dei dati verso un paese che non fornisce una protezione adeguata, e dell’assenza di misure di salvaguardia adeguate volte a proteggere i dati).