La Corte di Giustizia Europea (CGE) invalida l’operato della Commissione Europea e ritiene inadeguate al GDPR le garanzie del Privacy Shield in caso di trasferimento di dati personali dalla UE agli USA. Nella sentenza “Schrems II” la Corte boccia la decisione operativa della Commissione Europea sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (cd.Privacy Shield).
Il Privacy Shield viene ritenuto inadeguato rispetto al Regolamento Generale sulla Protezione dei dati personali n.2016/679 (GDPR).
Il Privacy Shield nella decisione 2016/1250 della Commissione Europea
La decisione della Corte di Giustizia Europea boccia l’operato di qualche anno fa della Commissione Europea con la decisione sull’accordo scudo USA-UE (cd.Privacy Shield). Nel 2016, prima dell’entrata in vigore del GDPR, il meccanismo di autocertificazione del Privacy Shield era stato ritenuto adeguato a garantire un idoneo livello di protezionee di tutela dei dati personali legittimando il trasferimento di dati personali dall’UE verso gli USA.
I contenuti del rinvio pregiudiziale alla Corte di Giustizia
Nella domanda di pronuncia pregiudiziale, il giudice del rinvio ha chiesto alla CGE di pronunciarsi su:
- applicabilità del GDPR a trasferimenti di dati personali fondati su “clausole tipo” di protezione contenute nella decisione della Commissione Europea
- livello di protezione richiesto nel quadro di un trasferimento siffatto
- obblighi delle Autorità di controllo
I giudici irlandesi, nel rinviare la questione alla Corte di Giustizia, hanno chiesto se la decisione della Commissione Europea possa essere considerata valida nonostante le “clausole tipo” non siano vincolanti nei confronti degli Stati e non possano rimediare alle eventuali ingerenze delle autorità pubbliche nei diritti delle persone interessate relativi a tali dati. È stato chiesto alla Corte di precisare quali possano essere gli elementi da prendere in considerazione per stabilire l’effettiva garanzia nel contesto di un simile trasferimento di dati personali.
La sentenza della CGE causa C-311/18 Schrems II
Nella sentenza dd. 16/07/2020, causa C-311/18, la Corte di Giustizia rivede l’operato della Commissione Europea alla luce delle novità introdotte dal Regolamento Generale sulla Protezione dei dati personali n.2016/679.
La Corte considera anzitutto che il GDPR dispone che per procedere al trasferimento di dati personali siano necessarie garanzie adeguate, diritti opponibili e mezzi di ricorso effettivi. La Corte osserva che le persone i cui dati personali sono trasferiti verso un Paese terzo sulla base di “clausole tipo” di protezione dei dati devono godere di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione.
Ciò premesso la Corte ritiene che le limitazioni della protezione dei dati personali risultanti dalla normativa interna degli Stati Uniti non siano adeguate al GDPR. Si tratta delle disposizioni in materia di accesso e di utilizzo, da parte delle autorità statunitensi, di dati trasferiti dall’Unione verso tale Paese terzo. Tali previsioni non rispettano i requisiti richiesti dall’art.47 GDPR per lacune riguardanti la tutela giurisdizionale delle persone i cui dati personali sono trasferiti verso gli USA.
Concludendo il proprio ragionamento, la Corte di Giustizia rileva come l’articolo 1 della decisione relativa al Privacy Shield sia incompatibile con l’articolo 45, paragrafo 1, del GDPR, letto anche alla luce degli articoli 7, 8 e 47 GDPR. L’invalidità della prima parte della decisione della Commissione ha l’effetto di inficiarla nel suo complesso risultando inscindibile dagli articoli da 2 a 6 e dagli allegati della medesima.
La CGUE ritiene pertanto che la decisione di adeguatezza del Privacy Shield sia invalida.
Le conseguenze della sentenza della CGE causa C-311/18
Le conseguenze della decisione della Corte di Giustizia causa C-311/18 sono dirompenti.
L’inadeguatezza delle protezioni al GDPR dei trasferimenti dei dati personali tra UE e USA avranno ripercussioni su qualsiasi operatore che tratti dati personali utilizzando software e servizi (es. newsletter) resi da aziende statunitensi o che comunque utilizzano server con sede negli USA.
La posizione del Comitato Europeo per la Protezione dei dati personali
Il Comitato Europeo per la Protezione dei Dati (EDPB) ha provveduto in data 23/07/2020 ad adottare delle FAQ, tradotte ufficialmente in italiano a cura dell’Ufficio del Garante per la protezione dei dati personali italiano, in merito alla sentenza oggetto del presente commento.
Nello specifico, l’EDPB conferma che la Corte di Giustizia ha annullato la decisione relativa al Privacy Shield senza preservarne gli effetti e che la valutazione deve essere tenuta presente con riguardo a qualunque trasferimento di dati dalla UE verso gli Stati Uniti.
Ancora, l’EDPB sottolinea come per continuare a utilizzare i servizi di un fornitore – Responsabile del trattamento (nel cui contratto sia previsto che i dati possano essere trasferiti verso gli USA), devono essere introdotte apposite misure supplementari per garantire che la normativa statunitense non incida sul livello di protezione sostanzialmente equivalente a quello offerto nel SEE assicurato dagli strumenti di trasferimento oppure devono trovare applicazione le deroghe di cui all’art. 49 del GDPR (es. il consenso esplicito, specifico e informato dell’interessato).
Qualora le alternative proposte non siano praticabili, l’unica soluzione suggerita dall’EDPB è quella di negoziare un emendamento o una clausola aggiuntiva al contratto per vietare il trasferimento di dati verso gli USA.