NEWS
Invalidità del Privacy Shield tra UE e USA: così la Corte di Giustizia UE
La Corte di Giustizia dell’Unione europea dichiara l’invalidità del c.d. Privacy Shield tra UE e USA
In data 16 luglio 2020, la Corte di Giustizia dell’Unione europea ha pronunciato la sentenza nella causa C-311/18[1] relativa alla questione pregiudiziale sollevata dall’Irish Data Protection Commissioner a seguito del reclamo presentato dal cittadino austriaco Maximillian Schrems (rispettivamente, la “CGUE” o la “Corte” e la “Sentenza”).
Qui il testo integrale della sentenza.
Il ricorrente lamentava che il trasferimento dei propri dati personali dall’Unione europea verso gli Stati Uniti d’America, effettuato da Facebook Ltd. con sede in Irlanda verso la consociata statunitense Facebook Inc., non fosse conforme al diritto europeo in materia di data protection poiché l’ordinamento dello stato nordamericano non appresterebbe garanzie equipollenti a quelle previste dal legislatore del vecchio continente e, pertanto, domandava la sospensione del relativo trattamento di dati personali extra-europeo.
La Corte, dopo aver rilevato che la normativa interna degli Stati Uniti, in effetti, consente alcune significative deroghe al diritto alla protezione dei dati personali, ha ritenuto tali limitazioni – pur motivate da ragioni di sicurezza e ordine pubblico – non compatibili con i principi stabiliti dalla disciplina europea[2].
Conseguentemente, la Sentenza ha dichiarato l’invalidità della decisione n. 2016/1250, adottata il 12 luglio 2016 dalla Commissione europea, che, sino a questo momento, sanciva invece l’adeguatezza delle guarentigie proprie della legislazione statunitense e, pertanto, assicurava la legittimità dei trasferimenti di dati personali da titolari e/o responsabili del trattamento situati all’interno del territorio europeo verso lo Stato americano (c.d. “Privacy Shield”).
Dunque, a decorrere dal 16 luglio 2020, i titolari (o i responsabili) del trattamento non potranno più ricorrere al Privacy Shield per il trasferimento dei dati personali verso gli Stati Uniti, dovendo necessariamente adottare uno degli altri strumenti giuridici previsti dal Capo V del GDPR[3].
Con la medesima Sentenza, la Corte ha poi affrontato anche la questione relativa alla compatibilità della decisione n. 2010/87, adottata il 5 febbraio 2010 dalla Commissione europea, con cui si stabilisce la legittimità dei trasferimenti di dati personali verso il territorio di un paese terzo a condizione che il titolare (o il responsabile) adotti le cosiddette clausole contrattuali tipo (le “Standard Contractual Clauses” o “SCC”) con il sopravvenuto quadro normativo europeo introdotto con il Regolamento UE 2016/679 (il “GDPR” o il “Regolamento”).
In particolare, la CGUE, pur confermando la validità delle SCC, ne ha proposto una lettura GDPR “driven” che impone all’“importatore” e all’“esportatore” di dati personali alcuni oneri ulteriori rispetto al previgente scenario.
Infatti, nella prospettiva della Corte, essi non potranno limitarsi a sottoscrivere le Standard Contractual Clauses bensì, ove opportuno, saranno tenuti ad implementare eventuali garanzie supplementari per sopperire alle possibili carenze del quadro normativo in materia di data protection del paese destinatario, documentando le analisi svolte in ossequio al principio di accountability di cui all’art. 5, GDPR[4].
Infine, tra i profili affrontati dalla Corte, una breve notazione finale deve essere dedicata all’assenza di un regime transitorio per regolare i flussi di dati personali verso gli Stati Uniti nel periodo immediatamente successivo alla declaratoria di invalidità del Privacy Shield.
La Sentenza è chiara nell’affermare come l’articolo 49, GDPR, individui in modo preciso le condizioni e i presupposti alla luce dei quali possono (o non possono) aver luogo i trasferimenti di dati personali verso paesi terzi rispetto all’Unione europea[5].
Considerata quindi la possibilità di effettuare un data transfer mediante strumenti giuridici alternativi al Privacy Shield, il suo sopravvenuto annullamento “non è idoneo a creare una lacuna giuridica”[6] e/o a legittimare un eventuale transitional period, con la conseguenza che le organizzazioni impattate dalla Sentenza dovranno attivarsi immediatamente per adottare le opportune “contromisure”.
Ad ogni buon conto, è chiaro che la pronuncia della Corte ha avuto – già nelle prime ore dalla sua pubblicazione – un impatto dirompente nel settore della data protection e, quindi, non potrà che essere oggetto di uno specifico approfondimento sul prossimo numero di questa Rivista.
Per la consultazione dei testi integrali, qui la versione italiana e qui la versione inglese
[1] Il comunicato stampa della CGUE è disponibile al link https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091en.pdf; mentre l’edizione provvisoria del testo integrale della Sentenza tradotto in italiano è disponibile su: https://eur-lex.europa.eu/legal-content/IT/TXT/?qid=1594903280593&uri=CELEX:62018CJ0311.
[2] Ad esempio, la CGUE ha rilevato carenze normative in merito alle disposizioni in materia di accesso e utilizzo dei dati personali da parte delle autorità governative statunitensi che, in sostanza, risulterebbero eccessivamente invasive, sproporzionate rispetto alle finalità perseguite e sprovviste di adeguati rimedi giurisdizionali a tutela dell’interessato.
[3] Il Capo V del Regolamento è appunto dedicato ai Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali. Tra i principali meccanismi volti a garantire la salvaguardia del livello di protezione delle persone fisiche si annoverano, oltre alle Standard Contractual Clauses, le decisioni di adeguatezza adottate dalla Commissione europea ai sensi dell’articolo 45, GDPR, le norme vincolanti d’impresa o business corporate rules di cui all’articolo 47, GDPR, il consenso esplicito dell’interessato al trasferimento ex articolo 49, GDPR.
[4] Cfr. punti nn. 122 e ss. della Sentenza e, in particolare, il punto n. 134. Il successivo punto n. 135 precisa come il trattamento in questione (i.e. il trasferimento extra-UE di dati personali) debba essere sospeso o definitivamente interrotto qualora non sia possibile adottare misure tali da garantire un livello di protezione sufficiente per le persone fisiche.
[5] A titolo esemplificativo, oltre a quanto richiamato in nota 3, si pensi alla necessità di trattare i dati all’estero per dare esecuzione a un contratto di cui l’interessato è parte ovvero alla tutela dell’incolumità e degli interessi vitali di quest’ultimo.
[6] Cfr. punto n. 202 della Sentenza.
