Lo scorso 16 Luglio del 2020 una storica sentenza della Corte di Giustizia dell’Unione europea (“CGUE”) denominata “Schrems II” (decisione C-311/18 del 16 luglio 2020) ha invalidato il “Privacy Shield Framework”, il regime di trasferimento internazionale dei dati tra l’Unione europea e gli Stati Uniti che attestava la adeguatezza degli USA in merito alla protezione dei dati personali, invalidando di fatto la decisione di adeguatezza stessa. Da notare, comunque, che non è la prima volta che la CGUE si pronuncia in merito all’invalidità di particolari decisioni di adeguatezza della Commissione Europea, infatti, il 6 ottobre 2015 la stessa corte, tramite la sentenza Schrems, ha annullato l’accordo “Safe Harbor” già siglato nel 2000 tra la EU e gli USA avente a oggetto sempre il regime di trasferimento internazionale dei dati.

Diverse sono, infatti, le criticità che si sono evidenziate ad un’analisi accurata del Privacy Shield, in particolare:

  • le persone interessate possono rischiare di non avere la possibilità di far valere le loro pretese giuridiche negli Stati Uniti per mancanza di trasparenza da parte dei soggetti aderenti al Privacy Shield;
  • non sono al momento definibili le competenze decisionali dell’organo incaricato secondo il Privacy Shield di ricevere e decidere i reclami presentati dagli interessati (Ombudsperson – Difensore Civico) nei confronti dei servizi segreti statunitensi e alla sua effettiva indipendenza soprattutto in casi o attività di sorveglianza indiscriminata o massiva da parte delle autorità americane;

Il giudizio della CGUE ha, comunque, confermato la validità delle clausole contrattuali tipo adottate dalla Commissione Europea il 5 Febbraio 2010 per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio (“SCC” – Standard Contractual Clauses), che dovranno essere soggette però, in ogni caso, a una valutazione di adeguatezza e, se necessario, garanzie aggiuntive.

A seguito di ciò, il 24 agosto 2020, l’Autorità Garante per la protezione dei dati dello stato federale tedesco del Baden-Württemberg (DPA) ha emesso delle linee guida per regolare i trasferimenti internazionali di dati di cui al Capo V del GDPR. Di seguito un riepilogo dei punti chiave delle linee guida tedesche.

Valutazione sul trasferimento dati internazionale extra EU

Per i trasferimenti di dati negli Stati Uniti, i responsabili del trattamento dei dati dovranno cercare di fornire ulteriori salvaguardie per mitigare i rischi, in particolare la crittografia l’anonimizzazione o la pseudonimizzazione.

Per i trasferimenti di dati ad altre giurisdizioni extra UE, i responsabili del trattamento dei dati dovranno verificare il contesto giuridico relativo all’accesso ai dati personali dell’UE da parte dei servizi segreti delle nazioni riceventi e i diritti e le tutele concessi agli interessati nella giurisdizione dove i dati vengono trasferiti appunto.

Secondo l’Autorità tedesca, le previsioni di cui al Capo V dell’articolo 49 del Regolamento generale sulla protezione dei dati dell’UE (“GDPR”) – Deroghe in Specifiche Situazioni, potrebbero essere potenzialmente utilizzate per i trasferimenti di dati all’interno del gruppo, se appropriato in un contesto specifico – tuttavia, la DPA ha osservato che le deroghe dovrebbero essere generalmente interpretate ancora in modo restrittivo.

La DPA invita quindi a valutare e documentare la necessità del trasferimento, a fare affidamento su meccanismi di trasferimento alternativi ragionevoli e/o selezionare un partner contrattuale/fornitore di servizi che ridurrebbe i rischi associati al trasferimento. L’autorità di protezione dei dati del Baden-Württemberg ha anche indicato che può adottare misure, come vietare i trasferimenti, se non ritiene opportuna la necessità del trasferimento e delle misure adottate dal responsabile del trattamento per mitigare i rischi.

Lista di verifica per la conformità e modifiche agli SCC

Inoltre, la DPA tedesca fornisce una lista di verifica per l’attività delle aziende che le stesse dovrebbero prendere in considerazione dopo la sentenza “Schrems II”:

  1. Procedere alla identificazione di tutti i trasferimenti di dati personali dell’UE a paesi terzi, compreso l’accesso remoto ai dati;
  2. Informare i fornitori di servizi nei paesi terzi degli sviluppi legali nell’UE per quanto riguarda i trasferimenti di dati dopo la sentenza della CGUE;
  3. Valutare la situazione giuridica nel paese terzo, in particolare se è stato riscontrato che la Commissione europea fornisce un livello adeguato di protezione dei dati;
  4. Laddove si possa fare affidamento sulle SCC per il trasferimento, valutare se sono necessarie ulteriori garanzie.

Inoltre, la DPA suggerisce modifiche strutturali alle SCC. Tra le altre modifiche alle SCC, la DPA suggerisce:

  • di includere l’obbligo per l’importatore di dati di informare, non solo l’esportatore di dati, ma anche gli interessati, di qualsiasi richiesta legalmente vincolante di divulgazione di dati personali presentata da un’autorità competente;
  • se tale notifica è vietata, ad esempio ai sensi del diritto penale, il responsabile del trattamento dei dati deve contattare la DPA del Baden-Württemberg per concordare come procedere;
  • che le parti dovrebbero convenire che i diritti di terzi beneficiari invocati dagli interessati debbano essere esercitati dinanzi ai tribunali dello Stato membro dell’UE in cui è stabilito l’esportatore di dati, eliminando l’opzione attualmente inclusa nelle SCC di deferire tale controversia alla mediazione.

L’Autorità per la protezione dei dati personali del Baden-Württemberg è tra le prime DPA nazionali a fornire indicazioni dettagliate che definiscono come ci si aspetta che le società soggette alla sua giurisdizione affrontino le questioni sollevate dalla sentenza “Schrems II”. Tuttavia, la guida non affronta le sfide che le aziende globali dovrebbero affrontare nella pratica nel tentativo di attuare le modifiche proposte alle SCC, come il fatto che nella maggior parte dei casi gli importatori/responsabili del trattamento dei dati non hanno rapporti diretti con gli interessati che consentano appropriate notifiche. Inoltre, non è chiaro se le modifiche proposte alle SCC avrebbero l’effetto di trasformarle in clausole ad hoc, richiedendo quindi l’approvazione del DPA ai sensi del GDPR. Resta da vedere se altre DPA seguiranno l’esempio del Baden-Württemberg.

Autori:

Il Presidente – Massimo Bruno

Il Segretario Organizzativo – Amedeo Leone