Dopo molta attesa, la Corte di Giustizia Europea (CGUE) si è pronunciata con la sentenza, definita nel gergo Schrems II[1] decretando l’invalidità del cd. Privacy Shield, anche noto come Decisione 2016/1250, una misura di sicurezza che garantiva il trasferimento dei dati personali dall’Unione Europea alle società stabilite negli USA[2].
In altre parole, fino a prima del nuovo orientamento della Corte per le società site negli USA era possibile ricevere dati provenienti dall’UE se iscritte all’interno di una lista di società certificate (“Privacy Shield List”) da parte del Dipartimento del Commercio statunitense. Tali società, che si impegnavano a rispettare i principi di qualità del trattamento dei dati personali ed a fornire agli interessati adeguati strumenti di tutela, potevano dunque trattare dati dei cittadini europei pur non essendo assoggettati strettamente il GDPR[3].
Questo “scudo” legale avallato dalla Commissione Europea, con apposita Decisione, era stato infatti ritenuto di livello adeguato alla protezione dei dati personali trasferiti dall’UE agli Stati Uniti, in quanto la presenza di tale autocertificazione assicurava garanzie giuridiche con riguardo ai trasferimenti di dati in questione.
La Corte ha tuttavia ritenuto che le garanzie adeguate, diritti opponibili e mezzi di ricorso effettivi, potrebbero non godere negli USA dello stesso livello stabilito, non solo dal Regolamento, ma anche dalla Carta di diritti fondamentali essendo possibile un eventuale accesso da parte delle pubbliche autorità di tale Paese terzo ai dati così trasferiti.
La stessa sentenza, e a sua volta il comunicato stampa riferito ad essa, dichiara che il diritto di accesso ai dati in favore delle autorità statunitensi, per poteri di indagine e sicurezza, non sono inquadrati in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dal principio di proporzionalità[4].
La precedente sentenza Schrems I e le novità della sentenza Schrems II
Appare opportuno riportare che non è la prima misura di adeguatezza della Commissione nei riguardi degli USA ad essere stata dichiarata invalida dalla Corte. Nel 2015, difatti, la medesima Corte, con la sentenza ormai nota come Schrems I[5] aveva chiarito invalido l’allora “approdo sicuro”, il noto “Safe Harbor”. Altra Decisione della Commissione europea[6] che rappresentava fino alla decisione della Corte uno strumento di garanzia per i trasferimenti dei dati dall’Unione Europea agli USA.
Per maggior completezza, occorre aggiungere che sebbene la sentenza Schrems II abbia dichiarato invalido il cd. Privacy Shield, è stata invece giudicata valida la Decisione 2010/87 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi. A differenza del Privacy Shield, la validità di tale decisione non è rimessa in discussione, in quanto le clausole tipo di protezione dei dati contenute in quest’ultima, per il loro carattere contrattuale, potrebbero essere comunque utilizzate per tali trasferimenti. In pratica, dall’utilizzo di tali clausole conseguono obblighi in capo alle parti sia di verifica del rispetto delle del livello di protezione richiesto nel paese terzo interessato, sia di informazione sull’eventuale impossibilità di conformarsi ai principi stabiliti, gravando sulle stesse possibili sospensioni di trasferimento o risoluzioni del contratto.
Conclusioni
Dunque, riepilogando, alla luce della sentenza in commento, per il momento, sembrerebbe possibile trasferire dati dall’Unione Europea agli Stati Uniti solamente a seguito di apposita stipulazione di clausole contrattuali tipo a seguito di alcune verifiche rimesse all’accountability delle parti (titolare/responsabile del trattamento – destinatario), non essendo più possibile ricorrere alla decisione di adeguatezza del Privacy Shield.
Concretamente, le Autorità di controllo, le istituzioni, le altre organizzazioni stanno valutando la sentenza in modo più dettagliato al fine di fornire ulteriori chiarimenti alle parti interessate e orientamenti sull’uso degli strumenti per il trasferimento di dati personali verso paesi terzi ai sensi della sentenza[7].
Le autorità europee all’unanimità sono pronte, come dichiarato dalla CGUE, a garantire la coerenza in tutto il SEE.
[1] Sentenza nella causa C-311/18 Data Protection Commissioner/Maximilian Schrems e Facebook Ireland
[2] Autorità Garante della Protezione dei dati Personali, “Privacy Shield”
[3] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (anche “Regolamento generale sulla protezione dei dati” o “GDPR”)
[4] Comunicato stampa n. 91/2020 e C-311/18 (vedi supra nota 1)
[5] Sentenza nella causa C-362/14 Maximillian Schrems v Data Protection Commissioner (vedi del pari comunicato stampa n. 117/15)
[6] Decisione della Commissione europea del 26 luglio 2000 n. 2000/520/CE
