In data 17 luglio 2020 il comitato europeo per la protezione dei dati ha adottato un documento in cui dichiara di accogliere favorevolmente la sentenza della Corte di Giustizia Schrems II ed espone alcune considerazioni.
Il Comitato preliminarmente prende atto dell’annullamento della Decisione di esecuzione della Commissione del 12 luglio 2016 sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (il cd. “Privacy Shield”) e della conferma della validità della decisione 2010/87 della Commissione del 5 febbraio 2010, relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi.
Sul privacy Shield
Con la sentenza Schrems II la Corte ha dichiarato invalida la decisione 2016/1250. La Corte ha rilevato che, le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autorità statunitensi, dei dati trasferiti dall’Unione, valutate dalla Commissione nella decisione 2016/1250, non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dal principio di proporzionalità, giacché i programmi di sorveglianza fondati sulla suddetta normativa non si limitano a quanto strettamente necessario. La Corte aggiunge che la stessa normativa, pur se prevede requisiti che devono essere rispettati dalle autorità statunitensi nell’attuare i programmi di sorveglianza considerati, non conferisce agli interessati diritti nei confronti delle autorità statunitensi azionabili dinanzi ai giudici. Il meccanismo di mediazione previsto da tale decisione, inoltre, non fornisce a tali persone un mezzo di ricorso dinanzi ad un organo che offra garanzie sostanzialmente equivalenti a quelle richieste nel diritto dell’Unione, tali da assicurare tanto l’indipendenza del Mediatore previsto da tale meccanismo quanto l’esistenza di norme che consentano al suddetto Mediatore di adottare decisioni vincolanti nei confronti dei servizi di intelligence statunitensi.
Con riferimento a questo punto della sentenza, il Comitato rimarca che l’UE e gli Stati Uniti dovranno delineare quanto prima un sistema completo ed efficace che garantisca un livello di protezione dei dati personali negli Stati Uniti sostanzialmente equivalente a quello garantito all’interno dell’Unione dal GDPR, letto alla luce della Carta dei diritti fondamentali.
Il Comitato, che già in passato aveva evidenziato le carenze del Privacy Shield indichiate dalla sentenza, ha quindi sottolineato l’intenzione di continuare a svolgere un ruolo costruttivo nell’assicurare un efficiente trasferimento transatlantico di dati personali a favore dei cittadini e delle organizzazioni europee impegnandosi a fornire alla Commissione Europea la necessaria assistenza per costruire, unitamente agli Stati Uniti, un nuovo quadro normativo in perfetta corrispondenza con i principi ed il regolamento europeo.
Sulle clausole contrattuali tipo per il trasferimento di dati personali
Per quanto riguarda la validità della decisione 2010/87, la sentenza Schrems II non ha individuato alcun elemento idoneo ad inficiarne la validità. Questa decisione, secondo la Corte, non va posta in discussione in quanto le clausole tipo di protezione dei dati ivi allegate, per il loro carattere contrattuale, non vincolano le autorità del Paese terzo verso il quale potrebbe essere effettuato un trasferimento di dati. Per la Corte, la validità, dipende dalla presenza di meccanismi che consentano, in pratica, di garantire che sia rispettato il livello di protezione richiesto dal diritto dell’Unione e che permettano che i trasferimenti di dati personali, fondati su tali clausole, siano sospesi o vietati in caso di violazione di tali clausole o di impossibilità di rispettarle. Secondo la Corte la decisione 2010/87 istituisce meccanismi di questo tipo.
Sulla base di tali statuizioni, il Comitato, nella dichiarazione in esame, sottolinea che nonostante la conferma della validità, la Corte ha evidenziato la necessità che tali clausole nella pratica mantengano un livello di protezione sostanzialmente equivalente a quello garantito dalla legislazione europea.
In tali casi, la valutazione se i paesi a cui vengono inviati i dati offrano una protezione adeguata è principalmente responsabilità dell’esportatore e dell’importatore di tali dati. Durante l’esecuzione di tale valutazione preliminare, l’esportatore (se necessario, con l’assistenza di l’importatore) deve prendere in considerazione il contenuto delle clausole ma anche le circostanze specifiche del trasferimento, nonché le leggi applicabili nel paese dell’importatore. Tale esame deve essere svolto alla luce dei criteri di cui all’art 45 (2) GDPR sul trasferimento dei dati personali basato su una decisione di adeguatezza della Commissione. Secondo tale disposizione, nel valutare l’adeguatezza del livello di protezione, la Commissione deve prendere in considerazione la pertinente legislazione generale e settoriale così come l’attuazione di tale legislazione, l’esistenza e l’effettivo funzionamento di una o più autorità di controllo indipendenti e gli impegni internazionali assunti da tale paese terzo.
Se il risultato di questa valutazione è che il paese dell’importatore non fornisce un livello di protezione sostanzialmente equivalente a quello europeo l’esportatore deve considerare di adottare misure aggiuntive a quelle previste nelle clausole contrattuali tipo. Il Comitato sta già procedendo ad analizzare quali potrebbero essere queste misure aggiuntive.
I poteri delle Autorità
Il Comitato prende atto dei doveri delle autorità di vigilanza competenti come rimarcati dalla sentenza Schrems II. Nel contesto di un trasferimento di dati all’estero la Corte ha sottolineato che, salvo che esista una decisione di adeguatezza validamente adottata dalla Commissione, tali autorità sono segnatamente tenute a sospendere o vietare un trasferimento di dati personali verso un Paese terzo quando ritengano, alla luce delle circostanze proprie di tale trasferimento, che le clausole tipo di protezione dei dati non siano o non possano essere rispettate in tale Paese e che la protezione dei dati trasferiti, richiesta dal diritto dell’Unione, non possa essere garantita con altri mezzi, ove l’esportatore stabilito nell’Unione non abbia esso stesso sospeso tale trasferimento o messo fine a quest’ultimo.
Considerazioni finali
Il Comitato ricorda infine di aver emanato linee guida sulle “deroghe in specifiche situazioni” previste dall’articolo 49 del GDPR (EDPB Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679, adopted on 25 May 2018). Tali deroghe si applicano in mancanza di una decisione di adeguatezza della Commissione o di garanzie adeguate ai sensi dell’articolo 46 GDPR. In tali casi è ammesso il trasferimento di dati personali verso un paese terzo per la sussistenza di una delle seguenti condizioni: il consenso dell’interessato, la necessità di dare esecuzione ad un contratto, per importanti motivi di interesse pubblico, per accertare, esercitare o difendere un diritto in sede giudiziaria, per tutelare gli interessi vitali dell’interessato o se il trasferimento sia effettuato a partire da un registro che, a norma del diritto dell’Unione o degli Stati membri, miri a fornire informazioni al pubblico. I Comitato ricorda comunque che, tali deroghe specifiche, devono essere adottate su una logica caso per caso.