UPDATEhttps://www.iconsulentiprivacy.it/trasferimento-dati-extra-ue-le-linee-guida-delledpb/

Con la sentenza della Corte di Giustizia europea del 16 luglio 2020 (c.d. “Sentenza Schrems II”), che invalida la decisione 2016/1250, viene sancita l’inadeguatezza del Privacy Shield, cioè lo scudo UE-USA che definisce i principi di protezione dei dati personali dei cittadini europei trasferiti al di la dell’Atlantico all’interno degli accordi commerciali con aziende statunitensi. Questo accordo, in vigore dal 2016 e venuto alla luce successivamente ad una analoga sentenza della CGUE dell’anno prima che definiva non conforme il precedente trattato denominato Safe Harbor, si prefiggeva di garantire il rispetto del sopraggiunto Regolamento in materia di privacy dell’Unione Europea (GDPR).

Nel comunicato stampa la CGUE ha evidenziato che “le limitazioni alla protezione dei dati personali derivanti dalla legge nazionale degli Stati Uniti in materia di accesso ed utilizzo di questi dati, da parte delle autorità pubbliche statunitensi, non sono circoscritte in modo tale da soddisfare i requisiti richiesti, nel diritto dell’UE, dal principio di proporzionalità, in quanto i programmi di sorveglianza basati su tali disposizioni non si limitano a quanto strettamente necessario”. In un successivo passaggio viene inoltre riportato che “il meccanismo di mediazione previsto da tale decisione non fornisca a tali persone un mezzo di ricorso dinanzi ad un organo che offra garanzie sostanzialmente equivalenti a quelle richieste nel diritto dell’Unione, tali da assicurare tanto l’indipendenza del mediatore previsto da tale meccanismo quanto l’esistenza di norme che consentano al suddetto mediatore di adottare decisioni vincolanti nei confronti dei servizi di intelligence statunitensi”.

Quali condizioni per il trasferimento? Lo dicono le FAQ del Garante Europeo:

La Corte di Giustizia europea ha confermato la decisione 2010/87 riguardo la validità delle Standard Contractual Clauses (SCCs) intese come efficace strumento di legittimazione dei trasferimenti di dati extra UE – fatto salvo che il trattamento può avvenire solo previa messa in atto di adeguate misure di protezione nel paese terzo in cui vengono trasferiti i dati ed, in particolare, per quanto riguarda l’accesso da parte delle autorità pubbliche e il ricorso giudiziario – che saranno oggetto di aggiornamento così come dichiarato da Věra Jourová, vice presidente della CGUE. 

In data 23/07/2020, l’EDPB (Garante Privacy Europeo) ha pubblicato le FAQ sugli effetti del caso Schrems II (scaricabile qui la versione in italiano), specificando:

1) che i trasferimenti verso gli Stati Uniti possono essere effettuati sulla base di clausole contrattuali standard (SCC) ai sensi dell’art. 46 GDPR, a patto che – nel caso concreto – le misure adottate dai soggetti Extra UE garantiscano che la legge degli States non possa interferire con un livello adeguato di protezione (di grado “sostanzialmente equivalente” a quello europeo). Lo stesso criterio di valutazione si applica anche ai trasferimenti eseguiti sulla base delle “Norme Vincolanti d’Impresa” (BCR) ai sensi dell’art. 47 GDPR;

2) in difetto, i trasferimenti Extra UE, anche verso gli USA, dovranno basarsi sul consenso dell’interessato ai sensi dell’art. 49 GDPR (oppure sulla base di altra fattispecie prevista dal medesimo articolo).

Il documento ha inoltre specificato che “non esiste un periodo di tolleranza durante il quale si possono continuare a trasferire dati negli Stati Uniti senza valutare la base giuridica per il trasferimento“, in quanto la Corte ha invalidato la decisione sul Privacy Shiled senza mantenerne in alcun modo gli effetti in ragione del fatto che la legge statunitense sulla protezione dei dati non fornisce un livello di protezione sostanzialmente equivalente a quello dell’UE.

Ad oggi, dunque, gli Stati Uniti sono considerati come qualsiasi altro paese terzo che non gode di alcun beneficio particolare: in pratica ogni trasferimento di dati verso gli USA dovrà essere accuratamente analizzato in quanto l’adozione del Privacy Shield della controparte statunitense non garantisce più la conformità normativa al GDPR che, ricordiamo, prevede sanzioni sia di tipo pecuniario che di inibizione al trattamento qualora venga dimostrata la non applicazione dello stesso.

Tradotto in pratica: cosa fare ora?

Le aziende che oggi trasferiscono dati negli Stati Uniti, ad esempio utilizzando servizi cloud forniti da Google, Dropbox o Microsoft, oppure utilizzando altri servizi informatici (come i CRM e gli strumenti per il marketing), potrebbero scontrarsi con vincoli normativi nell’ambito delle attività che coinvolgono cittadini europei e dover sostenere l’onere di una preventiva verifica presso le autorità nazionali per verificare caso per caso l’esistenza di garanzie per la protezione dei dati in ciascun Paese extra europeo.
Per molte aziende sarà quindi necessaria una riorganizzazione delle proprie procedure, non solo tecnologiche, privilegiando per il loro business partner locali che garantiscano la costante ubicazione dei dati, e delle relative piattaforme di gestione, all’interno dei confini europei.
I colossi dell’high tech probabilmente risponderanno sulla medesima lunghezza d’onda, così come già accaduto in occasione dell’annullamento del Safe Harbor, implementando data center europei ma questo non potrà essere considerato come una garanzia assoluta: andranno infatti verificate tutte le clausole contrattuali per affermare che i principi di tutela dei dati personali dei cittadini europei siano affermati, richiedendo all’occorrenza che vengano introdotte misure supplementari a seconda del livello di adeguatezza della legislazione in materia di un determinato paese terzo. Qualora questo non sia possibile, l’ultima spiaggia per legittimare il trasferimento è la raccolta del consenso in capo a tutti gli interessati (es. clienti, fornitori, dipendenti, ecc.).

A questo punto il suggerimento non può essere che quello di avviare, fin da subito, una scrupolosa valutazione di tutti i servizi usufruiti tramite fornitori ubicati – o che trasferiscono dati – al di fuori dalla Comunità Europea, analizzando in dettaglio le Standard Contractual Clauses presenti e, contemporaneamente, effettuare una valutazione dei rischi riguardo i dati personali trattati onde incorrere in sanzioni da parte del Garante nazionale.

Il Team di Consulenti Privacy è a tua disposizione per eseguire questa valutazione. Contattaci! 0541 1798723 – info@iconsulentiprivacy.it