1. La Sentenza
Con Sentenza del 16 Luglio 2020, emessa nella causa C-311/18 del 16 luglio 2020 (Data Protection Commissioner contro Facebook Ireland Ltd, Maximillian Schrems e con l’intervento di The United States of America, Electronic Privacy Information Centre, BSA Business Software Alliance Inc., Digitaleurope), la Corte di Giustizia dell’Unione Europea – Grande Sezione ha dichiarato invalida la decisione di esecuzione (UE) 2016/1250 della Commissione del 12 Luglio 2016 sull’adeguatezza della protezione offerta dal regime dello scudo UE – USA per la privacy (c.d. il "Privacy Shield").
2. Gli effetti
Dal momento di pubblicazione della Sentenza il trasferimento di dati personali effettuato a fini commerciali da parte di un operatore economico (Titolare o Responsabile del trattamento) stabilito nel territorio dell’Unione Europea verso un operatore economico stabilito negli Stati Uniti D’America non è più considerato lecito sulla base di tale decisione di esecuzione (UE) 2016/1250 della Commissione Europea e, quindi, sulla base del Privacy Shield.
3. Le conseguenze
Ai sensi dell’art. 45 GDPR (Reg. UE 2016/679) un trasferimento di dati personali dal territorio dell’Unione Europea verso un Paese terzo (extra UE) può essere autorizzato mediante una decisione adottata dalla Commissione europea che stabilisca che detto Paese terzo garantisce un livello di protezione adeguato (c.d. decisione di adeguatezza).
Nel caso in cui non esista una decisione di adeguatezza validamente adottata dalla Commissione Europea il soggetto UE che intenda trasferire dati ad un Paese terzo deve compensare la carenza di protezione dei dati di tale Paese destinatario con adeguate garanzie a tutela dell’Interessato.
Tali garanzie possono consistere nell’applicazione di norme vincolanti di impresa (BCR), clausole contrattuali tipo (SCC) di protezione dei dati adottate dalla Commissione, clausole tipo di protezione dei dati adottate da un’autorità di controllo o clausole contrattuali autorizzate da un’autorità di controllo.
Ai fini di cui sopra la Commissione Europea ha adottato la Decisione 2010/87/UE, del 5 Febbraio 2010 (modificata dalla Decisione di esecuzione (UE) 2016/2297), che ha disposto una serie di clausole contrattuali tipo ritenute garanzie sufficienti per rendere lecito il trasferimento di dati personali dal territorio UE verso Paesi terzi.
In ogni caso, a prescindere dall’adozione delle suddette clausole, devono essere adottate soluzioni che diano all’Interessato diritti effettivi ed azionabili in relazione al trattamento dei suoi dati effettuato nel Territorio dell’Unione, cosicché tale Interessato possa continuare a beneficiare dei diritti fondamentali e delle garanzie di cui gode nel territorio dell’Unione.
In assenza degli strumenti di salvaguardia sopra enunciati (comprese le decisioni di adeguatezza e le clausole standard) è possibile effettuare il trasferimento solo in presenza di specifiche deroghe, che comprendono:
· il consenso esplicito dell’interessato previamente informato dei possibili rischi del trasferimento;
· l’esecuzione di un contratto o di misure precontrattuali di cui è parte l’Interessato per cui si renda necessario il trasferimento dei dati;
· la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato
· importanti motivi di interesse pubblico, riconosciuto dal diritto dell’Unione o dello Stato membro a cui appartiene il titolare del trattamento;
· l’accertamento, difesa o esercizio di un diritto in sede giudiziaria;
· la necessità di tutelare interessi vitali dell’interessato.
Pertanto, alla luce della Sentenza in commento il trasferimento di dati relativi a interessati dell’Unione Europea da parte di un operatore economico stabilito in tale territorio dell’UE verso soggetti stabiliti negli Stati Uniti:
non può più trovare giustificazione nel regime di adozione del Privacy Shield da parte del soggetto Usa;
può aver luogo solo previa garanzia da parte del Paese terzo ricevente dell’esistenza di un adeguato livello di protezione dei dati personali dell’Interessato;
può aver luogo in presenza delle specifiche deroghe sopra indicate.
* per l’applicazione delle clausole contrattuali tipo (SCC), si rinvia al punto seguente sulle FAQ EDPB
4. Le FAQ dell’EDPB
L’EDPB (European Data Protection Board, il Comitato Europeo per la Protezione dei Dati) ha emanato delle FAQ sul contenuto e sull’impatto della sentenza: https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118_en.pdf
Il Garante per la Protezione dei Dati Personali rinvia a tali FAQ, con una propria versione in italiano: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9443857
In attesa di ulteriori approfondimenti, la raccomandazione è ovviamente di attenersi a tali FAQ.
Per approfondire
5. Cos’è il Privacy Shield
Il Privacy Shield, ovvero lo “scudo per la privacy” fra Unione Europea e USA, è una procedura che rende (rectius rendeva) lecito il trasferimento di dati personali da un soggetto stabilito nell’Unione Europea verso un soggetto stabilito negli Stati Uniti D’America.
In particolare, lo scudo UE-USA per la privacy si fonda su un sistema di autocertificazione per il quale la società statunitense destinataria dei dati personali provenienti dal territorio dell’Unione Europea si impegna a rispettare in materia di privacy i principi sanciti nel suddetto scudo UE-USA, comprensivi dei principi supplementari emanati dal Dipartimento del Commercio degli USA e dalle dichiarazioni ed impegni ufficiali di altri Organi del sistema governativo degli Stati Uniti.
Lo scudo si applica sia ai titolari sia ai responsabili del trattamento e la protezione da esso offerta copre i trasferimenti di dati di interessati dell’Unione Europea dal territorio dell’Unione medesima ad organizzazioni stabilite negli USA che si sono autocertificate come aderenti ai principi presso il Dipartimento del Commercio e fanno quindi parte dell’elenco pubblico dal suddetto tenuto.
Con la propria decisione di esecuzione (UE) 2016/1250 del 12 Luglio 2016, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, la Commissione europea aveva ritenuto, appunto, che gli Stati Uniti d'America assicurassero un livello di protezione adeguato dei dati personali trasferiti nell'ambito del Privacy Shield dall'Unione Europea alle organizzazioni statunitensi e che, pertanto, il Privacy Shield costituisse una base giuridica fondante i trasferimenti dei dati in questione.
6. Origine della vicenda
Il Sig. Schrems, cittadino austriaco residente in Austria, il 25 giugno 2013 presentava al Commissario per la Protezione dei Dati una denuncia nella quale chiedeva sostanzialmente che venisse vietato a Facebok Ireland di trasferire i suoi dati personali (quale utente della piattaforma) alla controllante Facebook Inc., i cui server sono ubicati nel territorio degli Stati Uniti. Riteneva, infatti, il Sig. Schrems che il diritto e prassi vigenti negli Stati Uniti non offrissero una protezione sufficiente dei dati personali conservati nel territorio di tale Paese contro le attività di sorveglianza ed intelligence governativa ivi praticate dalle pubbliche autorità.
Dopo una serie di vicende processuali la High Court irlandese, in data 4 Maggio 2018, ha sottoposto alla Corte di Giustizia il rinvio pregiudiziale che ha poi dato origine alla sentenza in commento e che, in sostanza, verteva:
a) sull’interpretazione della Direttiva 95/46/CE del 24 ottobre 1995 sulla tutela delle persone fisiche riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati, alla luce della Carta dei diritti fondamentali dell’Unione Europea (la Carta);
b) sull’interpretazione e la validità della decisione 2010/87/UE della Commissione, del 5 Febbraio 2010, relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi;
c) sull’interpretazione e la validità della decisione di esecuzione (UE) 2016/1250 del 12 Luglio 2016 sull’adeguatezza della protezione offerta dal regime dello “scudo per la privacy”.
7. Principi base della Sentenza della Corte UE Grande Sezione
Nel dispositivo la Corte di Giustizia – Grande Sezione, dopo un’approfondita analisi della normativa di riferimento e della fattispecie concreta della vicenda ha statuito i seguenti principi:
1) Rientra nell’ambito di applicazione del REG (UE) 2016/679 GDPR anche un trasferimento di dati personali effettuato a fini commerciali da un operatore economico stabilito in uno Stato membro verso un altro operatore economico stabilito in un Paese terzo, nonostante il fatto che, durante o in seguito a tale trasferimento, i suddetti dati possano essere sottoposti al trattamento da parte delle autorità del Paese terzo considerato ai fini di sicurezza pubblica, di difesa e sicurezza dello Stato;
2) L’art. 46 GDPR deve essere interpretato nel senso che le garanzie adeguate, i diritti azionabili e i mezzi di ricorso effettivi devono garantire che i diritti delle persone i cui dati personali sono trasferiti verso un Paese terzo sul fondamento di clausole tipo di protezione dei dati, godano di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione Europea dal GDPR, letto alla luce della Carta dei diritti fondamentali dell’Unione Europea;
3) L’art. 58 GDPR deve essere interpretato nel senso che, a meno che esista una valida decisione di adeguatezza della Commissione, l’autorità di controllo competente è tenuta a sospendere o vietare un trasferimento di dati verso un Paese terzo effettuato sulla base di clausole tipo di protezione dei dati, qualora detta autorità di controllo ritenga, alla luce delle circostanze proprie del trasferimento, che tali clausole tipo non siano o non possano più essere rispettate da tale Paese terzo e che la protezione dei dati trasferiti non possa essere garantita con altri mezzi;
4) La Decisione 2010/87/UE della Commissione Europea del 5 Febbraio 2010, relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi, letta anche alla luce della Carta dei diritti fondamentali dell’Unione Europea è valida;
5) La Decisione di esecuzione (UE) 2016/1250 della Commissione Europea del 12 Luglio 2016 sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy è invalida.
Avv. Marta Calore Avv. Piergiovanni Cervato