La Corte di Giustizia Europea è intervenuta sul tema in data 16 luglio 2020 con la sentenza n. C-311/18 (Data Protection Commissioner v Facebook Ireland and M. Schrems), confermando, tuttavia, tale incertezza, cui seguono importanti conseguenze pratiche. La Corte, infatti:
- ha annullato la decisione di esecuzione della Commissione Europea n. 2016/1250 (sul cd Privacy Shield – Decisione Privacy Shield), utile al trasferimento di dati personali verso gli USA;
- è intervenuta, più in generale, sulla portata delle clausole contrattuali tipo utilizzate per il trasferimento dei dati personali verso Paese terzi, subordinandone l'efficacia, nella sostanza, ad una verifica delle legislazioni locali presso cui i dati vengono trasferiti:
In questo contesto, è fondamentale che gli operatori del mercato verifichino le modalità attraverso cui procedono al trasferimento di dati personali verso Paesi terzi, così da scongiurare i relativi rischi.
1. Le ragioni alla base dell'invalidità della Decisione Privacy Shield
Come anticipato, con la sentenza in data 16 luglio 2020 menzionata poco sopra, la Corte ha rilevato che l'ordinamento statunitense prevede che l'adesione ai principi che costituiscono il Privacy Shield possa essere limitata per esigenze di sicurezza nazionale, interesse pubblico o amministrazione della giustizia.
Da ciò – ha osservato la Corte – discende che le organizzazioni statunitensi autocertificate che ricevono dati personali dall'Unione sono tenute a disapplicare, senza alcun limite, le disposizioni del Privacy Shield ove esse interferiscano e/o siano incompatibili con le esigenze indicate, con conseguenti possibili ingerenze nei diritti fondamentali delle persone i cui dati sono trasferiti dall'Unione Europea verso gli Stati Uniti.
Questi aspetti erano già stati esaminati dalla Commissione Europea in sede di adozione della Decisione Privacy Shield. In tale occasione, la Commissione aveva constatato che gli Stati Uniti assicurano, nell'ambito del Privacy Shield, un adeguato livello di protezione dei dati personali trasferiti dall'Unione Europea verso organizzazioni stabilite negli Stati Uniti. La stessa Commissione aveva altresì ritenuto che dette ingerenze (per esigenze di sicurezza nazionale, interesse pubblico o amministrazione della giustizia) si limitassero solo a quanto strettamente necessario per conseguire l'obiettivo legittimo posto alla base dell'ingerenza stessa e che, in ogni caso, esistessero tutele giuridiche efficaci esperibili dagli interessati (e.g., ricorso al cd Mediatore del Privacy Shield).
La Corte, invece, risulta di diverso avviso rispetto a tali temi. Nella sentenza, tra le altre, si legge infatti che:
- le disposizioni del diritto statunitense in materia di programmi di sorveglianza non sono tali da garantire, nel rispetto del principio di proporzionalità, un livello di protezione sostanzialmente equivalente a quello garantito dalla Carta dei diritti fondamentali europea. E ciò in quanto l'uso di detti programmi di sorveglianza non è limitato a quanto strettamente necessario;
- la legislazione statunitense non riconosce alcun mezzo di ricorso effettivo in favore delle persone i cui dati personali sono trasferiti dall'Unione verso gli Stati Uniti, in quanto l'istituzione del Mediatore nel contesto del Privacy Shield non è in sé sufficiente a garantire un livello di tutela sostanzialmente equivalente a quello previsto dall'art. 47 della già menzionata Carta. La Corte evidenzia, in proposito, che il Mediatore, oltre a non essere un'entità del tutto indipendente dal potere esecutivo (in quanto designato dal Segretario di Stato), non è nemmeno espressamente autorizzato ad adottare decisioni vincolanti nei confronti dei servizi di intelligence ove riscontri violazione delle norme applicabili.
Sulla scorta di tali rilievi, la Corte ha quindi concluso che la Decisione Privacy Shield è incompatibile con l'art. 45 del GDPR, letto alla luce degli artt. 7, 8 e 47 della Carta e che, pertanto, la medesima decisione è – nel suo complesso – invalida.
2. Implicazioni pratiche: il ricorso alle clausole contrattuali tipo
Ad un esame preliminare, la decisione della Corte sembra escludere significative conseguenze pratiche, in quanto la pronuncia, al contempo, conferma la validità delle clausole contrattuali tipo (Standard Contractual Clauses - SCCs) quale strumento idoneo a garantire un adeguato livello di tutela degli interessati nell'ambito di trasferimenti di dati personali verso Paesi extra-UE (in luogo, dunque, del Privacy Shield, per i trasferimenti verso gli USA).
Sennonché, un esame più approfondito del provvedimento conduce a ritenere che gli effetti della decisione siano notevoli rispetto al tema del trasferimento dei dati verso Paesi terzi.
La Corte, invero, ha precisato che le SCCs sono uno strumento generale, che deve essere integrato tenendo conto del contesto normativo del Paese presso cui i dati personali vengono trasferiti. In particolare, la Corte ha sancito che gli operatori economici sono tenuti ad integrare le SCCs al fine di garantire l'effettiva protezione dei dati oggetto di trasferimento, per il caso in cui la normativa del Paese terzo non consenta al destinatario di conformarsi alle SCCs.
La Corte, a conferma della necessità di integrazione delle SCCs per garantire l'effettiva protezione dei dati personali, ha evidenziato che, ove il titolare/responsabile del trattamento non sia in grado di adottare – nel contesto normativo estero – garanzie supplementari (rispetto a quelle già previste nelle SCCs), esso è tenuto a sospendere il trasferimento dei dati personali.
In questo contesto, le implicazioni pratiche della decisione in esame sono immediate e di rilevante portata per due ordini di ragioni:
- in primo luogo, perché i trasferimenti di dati dall'Unione verso gli USA fondati sul Privacy Shield non potranno più considerarsi validi, con la conseguenza che le imprese che sino ad oggi si sono affidate a tale meccanismo per lo scambio di dati personali dovranno implementare diversi meccanismi (e.g., SCCs, norme vincolanti di impresa);
- in secondo luogo, generalmente rilevante per tutti i trasferimenti per il tramite di SCCs (e, quindi, non limitatamente agli USA) perché l'adozione delle SCCs dovrà essere preceduto da un risk assessment inerente il Paese terzo presso cui i dati vengono trasferiti, al fine di verificare che la normativa estera garantisca una "protezione adeguata" per i dati oggetto del trasferimento (e.g., se le obbligazioni di cui alle SCCs siano effettivamente enforceable).