Il Privacy Shield non è conforme al GDPR: protezione inadeguata per i dati personali trasferiti negli USA
La Corte di Giustizia Europea giudica non conforme al GDPR il Privacy Shield. Nella sentenza “Schrems II” la Corte ritiene che i dati personali trasferiti negli USA non siano adeguatamente protetti (https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091it.pdf)
Il Privacy Shield nella decisione 2016/1250 della Commissione Europea
La pronuncia della Corte di Giustizia Europea mette in crisi l’accordo scudo USA-UE (cd. Privacy Shield). Prima dell’entrata in vigore del GDPR, la Commissione Europea legittimava il trasferimento di dati personali dall’UE verso gli USA considerando adeguato il meccanismo di protezione garantito dall’accordo scudo USA-UE .
I contenuti del rinvio pregiudiziale alla Corte di Giustizia
Nella domanda di pronuncia pregiudiziale, il giudice del rinvio ha chiesto alla CGE di pronunciarsi su:
- applicabilità del GDPR a trasferimenti di dati personali fondati su “clausole tipo” di protezione contenute nella decisione della Commissione Europea
- livello di protezione richiesto nel quadro di un trasferimento siffatto
- obblighi delle Autorità di controllo
I giudici irlandesi, nel rinviare la questione alla Corte di Giustizia, hanno chiesto se la decisione della Commissione Europea possa essere considerata valida nonostante le “clausole tipo” non siano vincolanti nei confronti degli Stati e non possano rimediare alle eventuali ingerenze delle autorità pubbliche nei diritti delle persone interessate relativi a tali dati. È stato chiesto alla Corte di precisare quali possano essere gli elementi da prendere in considerazione per stabilire l’effettiva garanzia nel contesto di un simile trasferimento di dati personali.
La sentenza della CGE causa C-311/18 Schrems II
Nella sentenza dd. 16/07/2020, causa C-311/18, la Corte di Giustizia rivede l’operato della Commissione Europea alla luce delle novità introdotte dal Regolamento Generale sulla Protezione dei dati personali n.2016/679.
La Corte considera anzitutto che il GDPR dispone che per procedere al trasferimento di dati personali siano necessarie garanzie adeguate, diritti opponibili e mezzi di ricorso effettivi. La Corte osserva che le persone i cui dati personali sono trasferiti verso un Paese terzo sulla base di “clausole tipo” di protezione dei dati devono godere di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione.
Ciò premesso la Corte ritiene che le limitazioni della protezione dei dati personali risultanti dalla normativa interna degli Stati Uniti non siano adeguate al GDPR. Si tratta delle disposizioni in materia di accesso e di utilizzo, da parte delle autorità statunitensi, di dati trasferiti dall’Unione verso tale Paese terzo. Tali previsioni non rispettano i requisiti richiesti dall’art.47 GDPR per lacune riguardanti la tutela giurisdizionale delle persone i cui dati personali sono trasferiti verso gli USA.
Concludendo il proprio ragionamento, la Corte di Giustizia rileva come l’articolo 1 della decisione relativa al Privacy Shield sia incompatibile con l’articolo 45, paragrafo 1, del GDPR, letto anche alla luce degli articoli 7, 8 e 47 GDPR. L’invalidità della prima parte della decisione della Commissione ha l’effetto di inficiarla nel suo complesso risultando inscindibile dagli articoli da 2 a 6 e dagli allegati della medesima.
La CGUE ritiene pertanto che la decisione di adeguatezza del Privacy Shield sia invalida.
Le conseguenze della sentenza della CGE causa C-311/18
Le conseguenze della decisione della Corte di Giustizia causa C-311/18 sono dirompenti.
L’inadeguatezza delle protezioni al GDPR dei trasferimenti dei dati personali tra UE e USA avranno ripercussioni su qualsiasi operatore che tratti dati personali utilizzando software e servizi (es. newsletter) resi da aziende statunitensi o che comunque utilizzano server con sede negli USA.
Le FAQ del Comitato Europeo per la Protezione dei dati personali
Il Comitato Europeo per la Protezione dei Dati (European Data Protection Board) ha provveduto in data 23/07/2020 ad adottare delle FAQ, tradotte ufficialmente in italiano a cura dell’Ufficio del Garante per la protezione dei dati personali italiano, in merito alla sentenza oggetto del presente commento (https://www.garanteprivacy.it/documents/10160/0/FAQ+dell%27EDPB+sulla+sentenza+della+Corte+di+giustizia+dell%27Unione+europea+nella+causa+C-311_18.pdf/d2f928b2-ab57-ae7c-8f17-390664610d2c?version=3.0).
Nello specifico, il Comitato Europeo ribadisce l’importanza della sentenza della Corte di Giustizia Europea. La decisione della Commissione Europea adottata nel 2016 per il Privacy Shield è priva di rilievo: qualunque trasferimento di dati dalla UE verso gli Stati Uniti non presenta le garanzie di protezione richieste dal GDPR.
Grande attenzione deve essere riservata qualora si utilizzino i servizi di un fornitore – Responsabile del trattamento (nel cui contratto sia previsto che i dati possano essere trasferiti verso gli USA).
Secondo il Comitato, devono essere introdotte apposite misure supplementari per garantire che la normativa statunitense non incida sul livello di protezione sostanzialmente equivalente a quello offerto nel SEE assicurato dagli strumenti di trasferimento oppure devono trovare applicazione le deroghe di cui all’art. 49 del GDPR (es. il consenso esplicito, specifico e informato dell’interessato).
Qualora le alternative proposte non siano praticabili, l’unica soluzione suggerita dal Comitato Europeo per la protezione dei dati personali è quella di negoziare un emendamento o una clausola aggiuntiva al contratto per vietare il trasferimento di dati verso gli USA.