Indice
Il 16 luglio 2020 è certamente una data destinata a restare negli annali della storia della Privacy e della protezione dei dati: si tratta infatti del giorno in cui la Corte di Giustizia dell’Unione Europea, nel suo pronunciamento sulla causa C‑311/18 “Schrems II”, ha invalidato la decisione di adeguatezza della Commissione UE sul Privacy Shield relativa al trasferimento di dati tra l’Unione Europea e gli Stati Uniti. In conseguenza di questa decisione, è ragionevole affermare che il Privacy Shield non può più costituire una valida base per il trasferimento di dati personali verso gli USA.
Questa storica sentenza è destinata ad avere una serie di conseguenze immediate e significative su tutte le imprese italiane ed Europee che, utilizzando servizi e/o fornitori negli Stati Uniti e/o aventi realtà infragruppo extra-UE, hanno basato il trasferimento estero dei dati sul Privacy Shield.
In questo articolo faremo del nostro meglio per fornire una serie di consigli pratici per la gestione del trasferimento dei dati negli Stati Uniti a seguito della sentenza Schrems II, nella speranza di poter essere d'aiuto ai tanti responsabili privacy e DPO che si troveranno a dover gestire questa scomoda e complessa "gatta da pelare": prima di addentrarci nelle modalità operative, però, è utile spendere qualche minuto per ricordare la genesi del Privacy Shield e l'utilità di questo dispositivo (fino a pochi giorni fa).
Privacy Shield: cos'è?
Il Privacy Shield, noto anche come Scudo EU-USA per la Privacy, è un accordo stipulato tra la Commissione Europea e il Dipartimento del Commercio degli Stati Uniti al fine di tutelare la riservatezza dei dati personali dei cittadini europei (e svizzeri) in caso di trasferimento oltreoceano a scopo commerciale. Questo accordo obbliga le imprese americane aderenti a proteggere i dati personali dei cittadini europei e rafforza i poteri di controllo del Dipartimento del Commercio USA e della Federal Trade Commission, aprendo lo spiraglio ad una collaborazione con le autorità europee di protezione dei dati.
L’accordo tiene conto dei requisiti stabiliti dalla Corte di giustizia dell’UE nella sentenza del 6 ottobre 2015 (nota anche come Sentenza Schrems), che aveva dichiarato invalido il precedente regime normativo, delineando un nuovo quadro, più severo e rigoroso, per i flussi transatlantici di dati.
Questa la descrizione del Privacy Shield fornita dalla Commissione Europea:
Il Privacy Shield UE-US impone obblighi più severi alle società statunitensi per proteggere i dati personali degli europei. Riflette i requisiti della Corte di Giustizia europea, che ha invalidato il precedente quadro Safe Harbor. Il Privacy Shield richiede che gli Stati Uniti controllino e applichino più rigorosamente la normativa e cooperino più strettamente con le autorità europee per la protezione dei dati. Per la prima volta comprende inoltre impegni scritti e garanzie in merito all’accesso ai dati da parte delle autorità pubbliche.
In conseguenza di tale definizione, le società statunitensi che vogliono aderire al Privacy Shield sono tenute a:
- dichiarare che soddisfano i requisiti con un’autocertificazione a cadenza annuale;
- mostrare una privacy policy sul proprio sito web;
- rispondere prontamente ai reclami sull’argomento;
- cooperare e conformarsi alle autorità europee per la protezione dei dati.
Oltre a questi obblighi specifici per le imprese che operano negli Stati Uniti e trattano dati personali di cittadini europei, il Privacy Shield impone una serie di vincoli e controlli ulteriori, tra cui una attività di vigilanza e controllo da parte del Dipartimento del Commercio USA, il divieto di sorveglianza indiscriminata di massa da parte delle autorità pubbliche sui dati personali trasferiti negli Stati Uniti,e la possibilità per i cittadini europei che dovessero ritenere violate le disposizioni dell’accordo (ovvero riscontrare un utilizzo illecito dei loro dati) di fare ricorso presso il dipartimento del Commercio e la Federal Trade Commission.
I limiti del Privacy Shield
Il dubbio che le misure previste dal Privacy Shield potessero non essere sufficienti per proteggere effettivamente i dati dei cittadini europei è stato sollevato nel 2016 (ovvero a ridosso della sua entrata in vigore) dal Parlamento Europeo, preoccupato per la sicurezza dei dati dei cittadini del Vecchio Continente trasferiti dalle aziende negli USA; questi dubbi sono stati successivamente formalizzati nella proposta di risoluzione 2018/2645 (RSP) del 26.6.2018, nella quale veniva chiesto alla Commissione di assicurarsi che la nuova amministrazione Trump agisse nel rispetto delle regole dell’accordo UE-USA.
Lo stesso Garante Europeo della Protezione dei Dati (GEPD / EDPS), autorità indipendente che controlla il trattamento dei dati personali da parte delle Istituzioni e degli organismi dell’UE, il 30 maggio 2016 ha pubblicato un parere non esattamente lusinghiero sullo Scudo UE-USA per la Privacy (Opinion 4/2016). Nel documento, disponibile in EN, FR e DE ma di cui è disponibile una sintesi in lingua italiana a cura di Giovanni Buttarelli, si evince come, nonostante gli sforzi compiuti per garantire la sicurezza dei flussi transatlantici di dati, si renda necessaria una soluzione più robusta e sostenibile. Nel documento il GEPD ha inoltre dichiarato che:
Qualora la Commissione intenda adottare una decisione di adeguatezza, sarà necessario apportarvi miglioramenti significativi allo scopo di rispettare l’essenza dei principi fondamentali di protezione dei dati in particolare per quanto riguarda la necessità, la proporzionalità e i meccanismi di rimedio.
Volendo provare a riassumere il parere fornito dal GEPD si potrebbe concludere che, per essere realmente efficace, il Privacy Shield dovrebbe assicurare una equivalenza sostanziale tra la normativa UE e USA in materia di protezione dei dati personali, tra le quali sussistono però ancora divergenze significative; in particolare, l'accordo dovrebbe garantire una protezione adeguata ed effettiva contro la sorveglianza indiscriminata e imporre obblighi di trasparenza più severi alle imprese che trattano dati in transito o trasferiti verso gli USA.
Le raccomandazioni contenute nell'opinione del GEPD, che ricordiamo precedono di ben due anni l'entrata in vigore del GDPR, sono rimaste (purtroppo) sostanzialmente inascoltate fino alla data odierna, come dimostra la recentissima sentenza Schrems II.
La sentenza Schrems II
Le importanti premesse fatte nei paragrafi precedenti consentono di comprendere l'importanza di quanto avvenuto il 16 luglio 2020, data in cui la Corte di giustizia dell'Unione europea (Lussemburgo, 16 luglio 2020, Sentenza nella causa C-311/18, Commissario per la protezione dei dati contro Facebook Irlanda e Maximillian Schrems - cd. ‘Schrems II’) ha invalidato lo scudo per la privacy USA-UE e ha riconosciuto la legalità delle clausole contrattuali tipo (Standard Contractual Clauses, note anche come SCC) nei trasferimenti internazionali di dati.
Nello specifico, la Corte di Giustizia ha concluso che:
- Negli Stati Uniti i requisiti della sicurezza nazionale, dell'interesse pubblico e delle forze dell'ordine statunitensi interferiscono con i diritti fondamentali delle persone i cui dati sono ivi trasferiti;
- I meccanismi previsti dallo scudo per la privacy UE-USA (Privacy Shield), il cui scopo sarebbe dovuto essere quello di mitigare questa interferenza, non rispettano gli standard giuridici richiesti dal regolamento 2016/679 (GDPR) in vigore presso l'Unione Europea e dei principi in esso contenuti.
Questa sentenza è, senza mezzi termini, una dichiarazione di morte per il Privacy Shield: un decesso che peraltro avviene senza alcun periodo di grazia, come chiarito fin troppo bene dalle FAQ pubblicate il 23 luglio dal Comitato europeo per la protezione dei dati (EDPB), che nel suo statement del 17 luglio aveva già dichiarato di accogliere con favore il giudizio della CGUE.
Per dirla in modo ancora più chiaro: il Privacy Shield ad oggi non è più utilizzabile, e qualsiasi società che ha scelto di adottarlo come base giuridica per autorizzare i trasferimenti di dati personali dei cittadini dell'UE verso gli USA sta commettendo un illecito.
Cosa fare adesso?
Sulla base di quanto espresso nei paragrafi precedenti, proviamo a stilare un vademecum operativo che elenchi le attività necessarie da svolgere per ricondurre i trasferimenti di dati verso gli Stati Uniti effettuati all'interno della propria azienda (o dell'azienda che ci ha incaricati di svolgere tale attività in qualità di responsabili privacy o DPO) all'interno del perimetro della legittimità.
#1. Identificare i trattamenti
La prima cosa da fare è identificare la sussistenza di trattamenti di dati personali affetti dal problema, ovvero che prevedano un trasferimento di dati verso gli USA e che siano basati sul Privacy Shield. Se l'azienda ha implementato correttamente i requisiti tecnico/funzionali previsti dal GDPR e i relativi strumenti, questa verifica si può svolgere rapidamente consultando il registro dei trattamenti (ex art. 30 GDPR); in caso contrario, è molto probabile che l'adeguamento alla sentenza Schrems II non sia che la punta dell'iceberg di un complesso insieme di attività di gap analysis e relative remediation che sarà il caso di svolgere all'interno del perimetro operativo aziendale.
#2. Individuare una nuova base giuridica
Una volta identificati i trasferimenti di dati personali dei cittadini dell'UE verso gli USA affetti dal problema è necessario individuare una base giuridica diversa dal Privacy Shield: a tale riguardo, ad oggi sussistono due alternative principali.
Clausole Contrattuali Tipo
Alla luce della sentenza della Corte Europea l'alternativa più sensata e percorribile al momento sembra essere quella di basarsi sulle Clausole Contrattuali Tipo (SCCs) previste dall’articolo 28 del GDPR, paragrafi 6 e successivi:
Fatto salvo un contratto individuale tra il titolare del trattamento e il responsabile del trattamento, il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 del presente articolo può basarsi, in tutto o in parte, su clausole contrattuali tipo di cui ai paragrafi 7 e 8 del presente articolo, anche laddove siano parte di una certificazione concessa al titolare del trattamento o al responsabile del trattamento ai sensi degli articoli 42 e 43.
Le Clausole Contrattuali Tipo, note anche come Standard Contractual Clauses o SCCs, sono le clausole tipo di protezione dei dati personali adottate dalla Commissione che hanno lo scopo di vincolare contrattualmente il soggetto importatore dei dati all’adozione di tutele adeguate sui dati trasmessi; esse, pertanto, si sostituiscono alle prescrizioni del GDPR che non sono applicabili nel paese di destinazione. Si tratta dunque in buona sostanza di un corpo contrattuale standard, definito secondo modelli suggeriti da una autorità di controllo, al fine di garantire la tutela dei titolari del trattamento e, quindi, indirettamente degli stessi interessati.
Attualmente sono classificati come SCC tre distinti modelli di clausole veicolati mediante altrettante decisioni della Commissione:
- 2001/497/EC del 15 giugno 2001, per i trasferimenti tra titolari del trattamento.
- 2004/915/EC, che modifica la decisione 2001/497 riguardo all’introduzione di un set alternativo di clausole contrattuali per il trasferimento di dati personali verso paesi terzi (trasferimenti tra titolari).
- 2010/87/EU del 5 febbraio 2010, per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi (trasferimenti titolare - responsabile).
La sottoscrizione delle SCC rappresenta una garanzia adeguata sulla cui base il trasferimento di dati personali, anche verso paesi privi di sistemi di protezione legale comparabili a quello dell’Unione, risulta comunque valido giuridicamente, come chiarito dall'art. 46 (paragrafo 2, comma c) del GDPR. Tali clausole, purché correttamente derivate dai modelli di cui sopra, possono configurarsi come un mezzo alternativo al Privacy Shield, legittimando così il trasferimento di dati dall’Unione Europea agli USA.
Ovviamente, al titolare del trattamento resta in carico l'onere - e di conseguenza la responsabilità - di verificare che il Paese di destinazione, in questo caso gli USA, garantisca il rispetto dei principi fondamentali del GDPR. Come se non bastasse, le autorità di controllo potranno in qualsiasi momento ordinare l’interruzione o la sospensione delle SCC che regolamentano il trasferimento verso gli USA nel caso in cui determinino che il paese non fornisca garanzie idonee. Eventualità che non sembra poi così remota, alla luce delle molteplici ombre su alcuni aspetti dell'amministrazione Trump, come si può evincere leggendo i seguenti articoli:
- Data Privacy: Is Trump's FCC Redefining Public Interest as Business Interest?
- Why Trump’s administration is going after the GDPR
Deroghe ex art. 49 GDPR
Alternativamente alle Clausole Contrattuali Tipo, è possibile ricorrere alla base giuridica rappresentata dalle deroghe previste dall'articolo 49 del GDPR, ovvero:
- l'interessato abbia esplicitamente acconsentito al trasferimento proposto, dopo essere stato informato dei possibili rischi di siffatti trasferimenti per l'interessato, dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate;
- il trasferimento sia necessario all'esecuzione di un contratto concluso tra l'interessato e il titolare del trattamento ovvero all'esecuzione di misure precontrattuali adottate su istanza dell'interessato;
- il trasferimento sia necessario per la conclusione o l'esecuzione di un contratto stipulato tra il titolare del trattamento e un'altra persona fisica o giuridica a favore dell'interessato;
- il trasferimento sia necessario per importanti motivi di interesse pubblico;
- il trasferimento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria;
- il trasferimento sia necessario per tutelare gli interessi vitali dell'interessato o di altre persone, qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso;
- il trasferimento sia effettuato a partire da un registro che, a norma del diritto dell'Unione o degli Stati membri, mira a fornire informazioni al pubblico e può esser consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse, solo a condizione che sussistano i requisiti per la consultazione previsti dal diritto dell'Unione o degli Stati membri.
A tale scopo, si consiglia di consultare le linee guida 2/2018 sulle deroghe di cui all’articolo 49 del regolamento 2016/679 pubblicate dall'EDBP a ridosso dell'entrata in vigore del GDPR: ovviamente, occorre tenere presente che il ricorso alle deroghe dell’articolo 49 non deve mai portare a una violazione dei diritti fondamentali dell'interessato.
#3. Contattare partner e fornitori
Una volta stabilito il nuovo perimetro su cui basare i trasferimenti interessati dal problema, è opportuno prendere contatto con i responsabili del trattamento, ovvero i partner di processo e/o fornitori, per avvertirli delle modifiche apportate alla base giuridica (nonché della necessità di informare a loro volta eventuali sub-responsabili, e così via). E' importante infatti tenere presente che, secondo quanto previsto dal GDPR, il compito di veicolare queste informazioni in modo proattivo alla "catena" di responsabili è in carico al titolare del trattamento.
#4. Aggiornare registri, DPIA e informative
Nel momento in cui i trasferimenti sono stati opportunamente gestiti mediante la nuova base giuridica e le informazioni sono state opportunamente veicolate sarà finalmente possibile (e necessario) aggiornare gli strumenti previsti dal GDPR in carico al titolare, ovvero:
- il registro dei trattamenti (ex. art. 30 GDPR), in tutti i casi;
- la valutazione di impatto privacy (DPIA, acronimo per Data Protection Impact Assessment, ex art. 35 GDPR), ove prevista per quei trattamenti;
- le informative agli interessati (ex artt. 13 e 14 GDPR), che andranno inviate nuovamente a tutti.
- eventuali autorizzazioni scritte generali (ex art. 28 GDPR) che documentino i rapporti in essere tra titolare e responsabile del trattamento, nella misura in cui contengano riferimenti al Privacy Shield.
Conclusioni
Il nostro approfondimento finisce qui: inevitabilmente, alle quattro misure che abbiamo menzionato per gestire nel migliore dei modi la problematica in esame, si affianca la necessità di tenersi aggiornati in merito alle comunicazioni che le autorità di controllo competenti avranno certamente cura di rilasciare nelle prossime settimane al fine di guidare le attività di titolari e responsabili del trattamento in questo periodo cruciale.
Ci auguriamo che i contenuti presenti in questo articolo possano essere di aiuto ai tanti professionisti che, operando in ambito privacy, siano alla ricerca di indicazioni operative su come affrontare nel migliore dei modi le conseguenze della sentenza Schrems II e il conseguente invalidamento del Privacy Shield.
Hai bisogno di organizzare un corso per te o per la tua azienda? Consulta il programma del nostro Corso di Formazione su GDPR e Privacy e/o chiedici un preventivo senza impegno!