A seguito di numerose richieste riportiamo le FAQ del Garante inerente il Privacy Shield.
La Corte di giustizia dell'Unione europea (CGUE) si è pronunciata il 16 luglio 2020 (c.d. "Sentenza Schrems II") in merito al regime di trasferimento dei dati tra l'Unione europea e gli Stati Uniti invalidando la decisione di adeguatezza del Privacy Shield, adottata nel 2016 dalla Commissione europea in seguito alla decadenza dell'accordo Safe Harbor.
Nella stessa sentenza la CGUE ha inoltre ritenuta valida la decisione 2010/87 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi.
Il Comitato Europeo per la Protezione dei Dati (EDPB) ha predisposto delle FAQ relative alla sentenza Schrems II e ai suoi effetti:
COMITATO EUROPEO PER LA PROTEZIONE DEI DATI - EDPB
Domande frequenti sulla sentenza della Corte di giustizia dell'Unione europea nella causa C-311/18 — Data Protection Commissioner/Facebook Ireland Ltd e Maximillian Schrems
Adottate il 23 luglio 2020
Il presente documento mira a fornire risposte ad alcune domande frequenti ricevute dalle autorità di controllo e sarà sviluppato e integrato con ulteriori analisi man mano che il comitato europeo per la protezione dei dati prosegue nell’esame e nella valutazione della sentenza della Corte di giustizia dell'Unione europea ("la Corte").
La sentenza C-311/18 è disponibile qui e il comunicato stampa della Corte è disponibile qui.
1) Che cosa ha stabilito la Corte nella sua sentenza?
-> Nella sua sentenza, la Corte ha esaminato la validità della decisione n. 2010/87/CE della Commissione europea sulle clausole contrattuali tipo ("SCC") e ne ha ritenuto la validità. Infatti, la validità di tale decisione non è in dubbio per il semplice motivo che le clausole tipo di protezione dei dati di cui alla suddetta decisione non sono vincolanti per le autorità del paese terzo verso il quale i dati possono essere trasferiti, avendo esse natura contrattuale.
Tuttavia, tale validità, ha aggiunto la Corte, dipende dall’esistenza all’interno della decisione 2010/87/CE di meccanismi efficaci che consentano, in pratica, di garantire il rispetto di un livello di protezione sostanzialmente equivalente a quello garantito dal RGPD all'interno dell'Unione europea, e che prevedano la sospensione o il divieto dei trasferimenti di dati personali ai sensi di tali clausole in caso di violazione delle clausole stesse o in caso risulti impossibile garantirne l’osservanza.
A tale riguardo, la Corte rileva, in particolare, che la decisione 2010/87/CE impone all'esportatore di dati e al destinatario dei dati ("l'importatore dei dati") l'obbligo di verificare, prima di qualsiasi trasferimento, alla luce delle circostanze del trasferimento stesso, se tale livello di protezione sia rispettato nel paese terzo in questione. Inoltre, la Corte rileva che la decisione 2010/87/CE impone all'importatore di informare l'esportatore di qualsiasi impossibilità di rispettare le clausole tipo di protezione dei dati nonché, ove necessario, eventuali misure supplementari a quelle offerte da tali clausole, nel qual caso l'esportatore di dati è tenuto a sospendere, a sua volta, il trasferimento dei dati e/o a risolvere il contratto con l'importatore.
-> La Corte ha inoltre esaminato la validità della decisione relativa allo scudo per la privacy (Privacy Shield) (Decisione 2016/1250 sull'adeguatezza della protezione offerta dallo scudo UE-USA per la privacy), poiché i trasferimenti in esame nell'ambito della controversia nazionale che ha portato alla domanda di pronuncia pregiudiziale si sono svolti tra l'UE e gli Stati Uniti ("USA").
La Corte ha ritenuto che i requisiti del diritto interno degli Stati Uniti, e in particolare determinati programmi che consentono alle autorità pubbliche degli Stati Uniti di accedere ai dati personali trasferiti dall'UE agli Stati Uniti ai fini della sicurezza nazionale, comportino limitazioni alla protezione dei dati personali che non sono configurate in modo da soddisfare requisiti sostanzialmente equivalenti a quelli previsti dal diritto dell'UE1 e che tale legislazione non accordi ai soggetti interessati diritti azionabili in sede giudiziaria nei confronti delle autorità statunitensi.
Alla luce di tale grado di ingerenza nei diritti fondamentali delle persone i cui dati sono trasferiti verso il suddetto paese terzo, la Corte ha dichiarato invalida la decisione sull'adeguatezza dello scudo per la privacy (Privacy Shield).
2) La sentenza della Corte ha implicazioni sugli strumenti di trasferimento diversi dallo scudo per la privacy?
-> In generale, per i paesi terzi, la soglia fissata dalla Corte si applica anche a tutte le garanzie adeguate ai sensi dell'articolo 46 del RGPD delle quali ci si avvalga per trasferire dati dal SEE a qualsiasi paese terzo. La normativa statunitense cui fa riferimento la Corte (vale a dire l'articolo 702 della FISA e l'Executive Order (EO) 12333) si applica a qualsiasi trasferimento verso gli Stati Uniti per via elettronica che rientra nell'ambito di applicazione della suddetta normativa, indipendentemente dallo strumento utilizzato per il trasferimento.
3) È previsto un periodo di grazia durante il quale continuare a trasferire i dati verso gli USA senza valutare la base giuridica per il trasferimento?
-> No, la Corte ha annullato la decisione relativa allo scudo per la privacy senza preservarne gli effetti, in quanto la normativa americana che è oggetto di valutazione da parte della Corte non fornisce un livello di protezione sostanzialmente equivalente a quello dell'UE. Tale valutazione deve essere tenuta presente con riguardo a ogni trasferimento verso gli Stati Uniti.
4) Trasferisco dati a un importatore di dati statunitense aderente allo scudo per la privacy, cosa devo fare adesso?
-> I trasferimenti sulla base di tale quadro giuridico sono illegali. Qualora desideri continuare a trasferire i dati verso gli Stati Uniti, occorre verificare se ciò sia possibile alle condizioni di seguito indicate.
5) Mi avvalgo di SCC con un importatore di dati negli Stati Uniti, cosa devo fare?
-> La Corte ha rilevato che la normativa degli Stati Uniti (Art. 702 della FISA ed EO 12333) non garantisce un livello di protezione sostanzialmente equivalente.
La possibilità o meno di trasferire dati personali sulla base di SCC dipende dall'esito della valutazione che dovrà compiere, tenuto conto delle circostanze del trasferimento e delle misure supplementari eventualmente messe in atto. Le misure supplementari unitamente alle SCC, alla luce di un'analisi caso per caso delle circostanze del trasferimento, dovrebbero garantire che la normativa statunitense non interferisca con l'adeguato livello di protezione garantito dalle SCC e dalle misure supplementari stesse.
Se si è giunti alla conclusione che, tenuto conto delle circostanze del trasferimento e delle eventuali misure supplementari, non vi sarebbero adeguate garanzie, occorre sospendere o porre fine al trasferimento di dati personali. Tuttavia, se si intende continuare ciononostante a trasferire i dati, occorre informarne la SA competente3.
6) Utilizzo le norme vincolanti d'impresa ("BCR") con un soggetto stabilito negli Stati Uniti, cosa devo fare?
-> Tenuto conto della sentenza della Corte, che ha annullato lo scudo per la privacy a causa del grado di interferenza creato dalla normativa degli Stati Uniti con i diritti fondamentali delle persone i cui dati sono trasferiti verso tale paese terzo, e alla luce della circostanza per cui lo scudo per la privacy era stato concepito anche al fine di apportare garanzie ai dati trasferiti utilizzando altri strumenti, come le norme vincolanti d'impresa, la valutazione della Corte si applica anche con riguardo alle norme vincolanti d'impresa, in quanto la normativa statunitense prevarrà anche sull’applicazione di quest’ultimo strumento.
La possibilità di trasferire o meno dati personali sulla base delle BCR dipenderà dall'esito della valutazione, tenuto conto delle circostanze del trasferimento e delle misure supplementari eventualmente messe in atto. Le misure supplementari unitamente alle BCR, alla luce di un'analisi caso per caso delle circostanze del trasferimento, dovrebbero garantire che la normativa statunitense non interferisca con l'adeguato livello di protezione garantito dalle BCR e dalle misure supplementari stesse.
Se si è giunti alla conclusione che, tenuto conto delle circostanze del trasferimento e delle eventuali misure supplementari, non vi sarebbero adeguate garanzie, occorre sospendere o porre fine al trasferimento di dati personali. Tuttavia, se si intende continuare ciononostante a trasferire i dati, occorre informarne la SA competente4.
7) E che succede rispetto agli altri strumenti di trasferimento previsti dall'articolo 46 del RGPD?
-> Il Comitato europeo per la protezione dei dati valuterà le conseguenze della sentenza sugli strumenti di trasferimento diversi dalle SCC e dalle BCR. La sentenza chiarisce che il parametro per l’adeguatezza delle garanzie di cui all’Art. 46 RGPD è costituito dalla "equivalenza sostanziale".
Come sottolineato dalla Corte, occorre rilevare che l’articolo 46 figura nel capo V del RGPD e, di conseguenza, deve essere letto alla luce dell'articolo 44 del regolamento stesso, in base al quale "tutte le disposizioni di detto capo devono essere applicate al fine di garantire che non sia compromesso il livello di protezione delle persone fisiche garantito da tale regolamento".
8) Posso utilizzare una delle deroghe di cui all'articolo 49 del regolamento generale sulla protezione dei dati al fine di trasferire i dati negli Stati Uniti?
-> È ancora possibile trasferire dati dal SEE agli Stati Uniti sulla base delle deroghe previste dall'articolo 49 del regolamento generale sulla protezione dei dati, purché siano soddisfatte le condizioni di cui a tale articolo. Il Comitato europeo per la protezione dei dati rinvia alle proprie linee-guida in merito5.
In particolare, è opportuno ricordare che, quando i trasferimenti sono basati sul consenso dell'interessato, esso dovrebbe essere:
- esplicito,
- specifico con riguardo al particolare trasferimento o insieme di trasferimenti (il che significa che l'esportatore deve assicurarsi di ottenere un consenso specifico prima che il trasferimento sia messo in atto anche se ciò avviene dopo la raccolta dei dati), e
- informato, in particolare sui possibili rischi del trasferimento (il che significa che l'interessato dovrebbe essere informato anche dei rischi specifici derivanti dal trasferimento dei dati verso un paese che non fornisce una protezione adeguata, e dell’assenza di misure di salvaguardia adeguate volte a proteggere i dati).
Per quanto riguarda i trasferimenti necessari all'esecuzione di un contratto tra l'interessato e il titolare del trattamento, occorre tenere presente che i dati personali possono essere trasferiti solo su base occasionale. Dovrebbe essere stabilito caso per caso se i trasferimenti di dati in questione abbiano natura "occasionale" ovvero "non occasionale". In ogni caso, tale deroga può essere invocata solo quando il trasferimento è oggettivamente necessario all'esecuzione del contratto.
In relazione ai trasferimenti necessari per importanti motivi di interesse pubblico (che devono essere riconosciuti nella legislazione dell'UE o degli Stati membri6), il Comitato europeo per la protezione dei dati ricorda che il requisito essenziale per l'applicabilità di tale deroga è la constatazione della sussistenza di importanti motivi di interesse pubblico, e non già la natura del soggetto coinvolto nel trasferimento, e che, sebbene tale deroga non sia limitata ai trasferimenti di dati aventi natura "occasionale", ciò non significa che i trasferimenti di dati sulla base della deroga relativa alla sussistenza di importanti motivi di interesse pubblico possano configurarsi su larga scala e in modo sistematico. Occorre semmai rispettare il principio generale per cui le deroghe previste all'articolo 49 del regolamento generale sulla protezione dei dati non dovrebbero trasformarsi di fatto in una regola, essendo necessario limitarne l’applicazione a situazioni specifiche e purché ogni esportatore di dati garantisca che il trasferimento soddisfa un rigoroso test di necessità.
9) Posso continuare a utilizzare le SCC o le BCR per il trasferimento dei dati verso un paese terzo diverso dagli Stati Uniti?
-> La Corte ha indicato che è ancora possibile utilizzare le SCC per trasferire dati in un paese terzo; tuttavia, la soglia fissata dalla Corte per i trasferimenti verso gli Stati Uniti si applica a qualsiasi paese terzo. Lo stesso vale per le norme vincolanti d'impresa (BCR).
La Corte ha sottolineato che spetta all'esportatore e all'importatore di dati valutare se il livello di protezione richiesto dal diritto dell'UE sia rispettato nel paese terzo in questione al fine di determinare se le garanzie fornite dalle SCC o dalle BCR possano essere rispettate nella pratica. In caso contrario, occorre valutare se sia possibile prevedere misure supplementari per garantire un livello di protezione sostanzialmente equivalente a quello previsto nel SEE, e se la legislazione del paese terzo non consenta ingerenze nei riguardi delle suddette misure supplementari tali da comprometterne di fatto l'efficacia.
È possibile rivolgersi all'importatore di dati per verificare la legislazione del rispettivo paese ed effettuarne una valutazione congiunta. Qualora l’esportatore o l'importatore dei dati nel paese terzo constati che i dati trasferiti ai sensi delle SCC o delle BCR non godono di un livello di protezione sostanzialmente equivalente a quello garantito all'interno del SEE, occorre sospendere immediatamente i trasferimenti. In caso contrario, occorre informarne la competente SA7.
-> Sebbene, come sottolineato dalla Corte, spetti in via primaria agli esportatori e agli importatori di dati valutare direttamente che la legislazione del paese terzo di destinazione consente all'importatore di dati di rispettare le clausole tipo di protezione dei dati o le BCR, prima di trasferire i dati personali a tale paese terzo, anche le autorità di controllo avranno un ruolo fondamentale da svolgere in sede di applicazione del regolamento generale sulla protezione dei dati e al momento di adottare ulteriori decisioni in materia di trasferimenti verso paesi terzi.
Come sollecitato dalla Corte, al fine di evitare decisioni divergenti, le autorità di controllo proseguiranno i lavori in seno al comitato europeo al fine di garantire approcci coerenti, in particolare qualora debbano essere vietati determinati trasferimenti verso paesi terzi.
10) Quali misure supplementari posso introdurre in caso di utilizzo di SCC o BCR per il trasferimento dei dati verso paesi terzi?
-> Le misure supplementari eventualmente da introdurre, ove necessario, dovrebbero essere stabilite caso per caso, tenendo conto di tutte le circostanze del trasferimento e a seguito della valutazione della legislazione del paese terzo, al fine di verificare se essa garantisca un livello di protezione adeguato.
La Corte ha sottolineato che spetta in primo luogo all'esportatore e all'importatore di dati effettuare tale valutazione e fornire le necessarie misure supplementari.
Al momento il Comitato europeo per la protezione dei dati sta analizzando la sentenza della Corte per stabilire quali misure supplementari potrebbero essere fornite in aggiunta alle SCC o alle BCR, siano esse misure giuridiche, tecniche o organizzative, per trasferire dati verso paesi terzi in cui le SCC o le BCR non potranno assicurare isolatamente un livello sufficiente di garanzie.
-> Il Comitato europeo per la protezione dei dati intende approfondire l’analisi relativa alla tipologia delle misure supplementari e fornire ulteriori orientamenti in merito.
11) Mi avvalgo di un responsabile del trattamento che tratta dati per mio conto, essendo io il titolare del trattamento. Come posso sapere se il mio responsabile del trattamento trasferisce i dati verso gli Stati Uniti o un altro paese terzo?
-> Il contratto stipulato con il responsabile in conformità dell'articolo 28, paragrafo 3, del RGPD deve stabilire se i trasferimenti siano o meno autorizzati (occorre tenere presente che costituisce un trasferimento anche l’accesso ai dati effettuato a partire da un paese terzo, ad esempio a fini amministrativi).
->Occorre un’autorizzazione anche per consentire a un responsabile di affidare a sub-responsabili del trattamento il trasferimento di dati verso paesi terzi. È necessaria particolare attenzione perché numerose soluzioni informatiche possono comportare il trasferimento di dati personali verso un paese terzo (ad esempio, a fini di conservazione o manutenzione).
12) Che cosa posso fare per continuare a utilizzare i servizi del mio responsabile del trattamento se il contratto firmato a norma dell'articolo 28, paragrafo 3, RGPD indica che i dati possono essere trasferiti verso gli USA o verso un altro paese terzo?
-> Se è previsto che i dati siano trasferiti verso gli Stati Uniti e non possono essere introdotte misure supplementari per garantire che la normativa statunitense non incida sul livello di protezione sostanzialmente equivalente a quello offerto nel SEE assicurato dagli strumenti di trasferimento, né si applicano le deroghe di cui all'articolo 49 del RGPD, l'unica soluzione è negoziare un emendamento o una clausola aggiuntiva al contratto per vietare il trasferimento di dati verso gli USA. Non solo la conservazione, ma anche la gestione dei dati dovrebbero quindi avvenire in paesi diversi dagli USA.
-> Se è previsto che i dati siano trasferiti verso un altro paese terzo, occorre analizzare anche la legislazione di tale paese terzo per verificarne la conformità ai requisiti della Corte e al livello di protezione dei dati personali atteso. Se non è possibile individuare un’idonea base giuridica per il trasferimento verso un paese terzo, non dovrebbe aver luogo alcun trasferimento di dati personali al di fuori del SEE e tutte le attività di trattamento dovrebbero aver luogo all'interno del SEE.
-------------------------------------------------------------------------------------------------------------------
1 La Corte sottolinea che taluni programmi di sorveglianza che consentono alle autorità pubbliche statunitensi di accedere ai dati personali trasferiti dall'UE agli Stati Uniti per motivi di sicurezza nazionale non prevedono limitazioni al potere conferito alle autorità statunitensi né garanzie per soggetti non statunitensi potenzialmente sottoposti a tale sorveglianza.
2 L'articolo 702 della FISA si applica a ogni "fornitore di servizi di comunicazione elettronica" (cfr. la definizione di cui all’articolo 1881 dell'USC 50, lettera b) (4)), mentre l’Executive Order 12 333 disciplina la sorveglianza elettronica, definita come "acquisizione di una comunicazione non pubblica con mezzi elettronici senza il consenso di una persona che è parte di una comunicazione elettronica o, in caso di comunicazione non elettronica, senza il consenso di una persona visibilmente presente nel luogo della comunicazione, con l’esclusione dell’impiego di dispositivi radio di direzionamento al solo scopo di stabilire la posizione di un apparato trasmittente" (3.4;b)).
3 V., in particolare, il punto 145 della sentenza della Corte e la clausola 4, lettera g), della decisione n. 2010/87/UE della Commissione, nonché la clausola 5 (a) della decisione n. 2001/497/CE della Commissione e l'allegato II (c) della decisione n. 2004/915/CE della Commissione.
4 V., in particolare, il punto 145 della sentenza della Corte e la clausola 4, lettera g), della decisione n. 2010/87/UE della Commissione. Cfr. anche sezione 6.3 WP256 rev.01 (Gruppo di lavoro articolo 29, documento di lavoro che stabilisce una tabella con gli elementi e i principi contenuti nelle BCR per titolari del trattamento, approvato dal comitato europeo per la protezione dei dati, http://ec.europa.eu/newsroom/article29/item detail.cfm?item_id=614109), e sezione 6.3 WP257 rev.01 (Gruppo di lavoro articolo 29, documento di lavoro che stabilisce una tabella con gli elementi e i principi contenuti nelle BCR per responsabili del trattamento, approvato dal comitato europeo per la protezione dei dati, http://ec.europa.eu/newsroom/article29/item detail.cfm?item_id=614110).
5 Cfr. le linee-guida del comitato europeo per la protezione dei dati 2/2018 sulle deroghe di cui all'articolo 49 del regolamento (CE) n. 2016/679, adottate il 25 maggio 2018, https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_it.pdf, pag. 3. 6 I riferimenti agli "Stati membri" vanno intesi come riferimenti agli "Stati membri del SEE".
7 V., in particolare, il punto 145 della sentenza della Corte. In relazione alle SCC, cfr. la clausola 4, lettera g), della decisione n. 2010/87/UE della Commissione, nonché la clausola 5 (a) della decisione n. 2001/497/CE della Commissione e l'allegato II (c) della decisione n. 2004/915/CE della Commissione. Per le norme vincolanti d'impresa, cfr. sezione 6.3 WP256 rev.01 (approvato dal comitato europeo per la protezione dei dati), e sezione 6.3 WP257 rev.01 (approvato dal comitato europeo per la protezione dei dati).